SGSI

ESCUELA SUPERIOR POLITCNICA
DEL LITORAL
ESCUELA DE DISEO Y COMUNICACIN

VISUAL
TESIS DE GRADO
PREVIO A LA OBTENCIN DEL TTULO DE:
Analista en Sistemas
TEMA:
SISTEMA DE GESTIN DE SEGURIDAD
DE LA INFORMACIN EN EL AREA DE
RECURSOS HUMANOS
AUTOR(ES):
BETTY LUNA MATAMOROS
RONALD ORTZ RODRGUEZ
JAIME PAREDES ARTEAGA
DIRECTOR:
ING. VICTOR MUOZ
Ao
2011
AGRADECIMIENTO
Agradecemos a nuestro Dios, por cada da de vida y por las
oportunidades puestas en nuestro camino y haber llegado a
nuestra meta.
Agradecemos a nuestras madres, por la paciencia y ternura de
nuestros primeros pasos, por su gua y apoyo incansable durante
estos aos; por su amor incomparable.
Agradecemos a nuestros padres, por el apoyo brindado y por ese
aliento de fuerza cuando nos vean flaquear en el camino; por su
orgullo mal disimulado en cada obstculo que dejbamos atrs.
Agradecemos a nuestros hermanos, por su compaa en esta
vida, por ser amigos y confidentes, por simplemente estar all.
DEDICATORIA
Nos llena de alegra el poder dedicarle esta tesis a nuestro Dios
que nos ha dado las fuerzas necesarias para poder llegar al final.
A nuestras familias, a cada uno de sus miembros, ya que de una
u otra manera han colaborado durante estos aos a que no nos
rindamos en el intento de superacin al que nos comprometimos
al inicio de nuestras carreras.
DECLARACIN EXPRESA
La responsabilidad del contenido de este Trabajo Final de
Graduacin, me corresponde exclusivamente; y el patrimonio
intelectual de la misma a la Escuela Superior Politcnica del
Litoral.
Firma del Director del Proyecto

y Miembros del Tribunal
Ing. Vctor Muoz

Director del Proyecto
Delegado
Firma de los Autores del Proyecto de Graduacin
Betty Luna Matamoros
Ronald Ortiz Rodrguez
Jaime Paredes Arteaga
NDICE GENERAL
CAPTULO 1
INTRODUCCIN............................................................................................ 12
1
INTRODUCCIN.................................................................................... 11
1.1 Qu es seguridad de la informacin?.................................................11
1.2 Marco de Referencia............................................................................. 12
1.2.1Qu es un SGSI?.................................................................................12
1.2.2ISO (International Organization for Standardization)............................13
1.2.3Metodologa ISO27001.........................................................................14
CAPTULO 2 BREVE HISTORIA DE
LA EMPRESA...............................20
2
BREVE HISTORIA DE LA EMPRESA........................................................21
2.1 HOSPITAL DEL NIO FRANCISCO ICAZA BUSTAMANTE.........................21
2.1.1Resea histrica................................................................................... 21
2.1.2Justificacin.......................................................................................... 21
2.1.3Visin................................................................................................... 22
2.1.4Misin................................................................................................... 22
2.1.5Ubicacin............................................................................................. 22
2.2 ORGANIZACIN.................................................................................... 23
2.2.1Clasificacin de contratos....................................................................24
2.2.2Clasificacin de bajas...........................................................................24
CAPTULO 3 PLANIFICACIN.......................................................................26
3
PLANIFICACIN..................................................................................... 27
3.1 ALCANCES Y LMITES DEL SISTEMA......................................................27
3.1.1Qu es?.............................................................................................. 27
3.1.2Alcance del Sistema planteado al Organismo......................................27
3.2 POLTICAS DE SEGURIDAD...................................................................28
3.2.1Definicin............................................................................................. 28
3.2.2Consideraciones Generales..................................................................28
3.2.3Polticas................................................................................................ 28
3.3 ANLISIS DE RIESGOS..........................................................................30
3.3.1Qu es?.............................................................................................. 30
3.3.2Consideracin Del Riesgo.....................................................................30
3.3.3Identificacin de Activos......................................................................31
3.4 AMENAZAS DE LOS ACTIVOS................................................................35
3.4.1Qu es?.............................................................................................. 35
3.4.2Valoracin de Activos...........................................................................38
3.4.3Valoracin de Activos...........................................................................38
3.4.4Tablas de puntuacin del anlisis de riesgo.........................................39
3.5 HOJA DE CLCULO DE ANLISIS DE RIESGOS.......................................40
3.5.1Nivel de riesgos.................................................................................... 43
3.6 TRATAMIENTO DE RIESGOS..................................................................44
3.7 DOCUMENTO DE APLICABILIDAD S O A..............................................45
CAPTULO 4 ETAPA DO.............................................................................. 47
4.1 Normativas de controles de personal...................................................47
4.1.1Definicin de Funciones y Responsabilidades......................................47
4.1.2Clusulas de Confidencialidad..............................................................48
4.1.3Concienciacin y educacin sobre normas de seguridad.....................48
4.1.4Responsabilidad en el uso de contraseas...........................................49
VII
4.2 PROCEDIMIENTO..................................................................................50
4.3 ACTIVO: A02 BASE DE DATOS PROPIA DE EMPLEADOS........................50
4.3.1Amenaza: Divulgacin de la informacin.............................................50
4.3.2Amenaza: Acceso no autorizado..........................................................51
4.4 ACTIVO: A04 REGISTROS DEL IESS.......................................................52
4.5 ACTIVO: A-05 REGISTRO DE INVENTARIO ASIGNADO...........................53
4.5.1Amenaza: Introduccin de informacin incorrecta...............................53
4.6 ACTIVO: A06 ARCHIVO VIDA LABORAL DE EMPLEADOS.......................54
4.6.2Amenaza: Interceptacin de la Informacin.........................................55
4.7 ACTIVO: A07 ARCHIVO DE PACIENTES..................................................56
4.7.1Amenaza: Divulgacin de la Informacin.............................................56
4.7.2Amenaza: Manipulacin de la Informacin...........................................56
4.7.3Amenaza: Acceso no Autorizado..........................................................58
4.7.4Amenaza: Interceptacin de la Informacin.........................................59
4.7.5Amenaza: Corrupcin de la Informacin..............................................60
4.8 ACTIVO: S01 PC.................................................................................... 61
4.8.1Amenaza: Uso indebido........................................................................61
4.9 ACTIVO: D01 DIRECTOR GENERAL........................................................62
4.9.1Amenaza: Deficiencia en la organizacin.............................................62
4.10 ACTIVO: D02 JEFES DE REA................................................................62
4.10.1...............................................Amenaza: Deficiencia de la organizacin
62
4.11 ACTIVO: H01 REAS RESTRINGIDAS.....................................................63
4.11.1......................................................................Amenaza: Uso no previsto
63
4.11.2............................................................Amenaza: Acceso no autorizado
63
CAPTULO 5 CONCLUSIONES Y
RECOMENDACIONES.........................64
5
CONCLUSIONES Y RECOMENDACIONES................................................65
CAPITULO 6 ANEXOS.................................................................................. 68
6
ANEXOS................................................................................................ 69
6.1 ANEXO I................................................................................................ 69
6.1.1Hoja de Inventario................................................................................ 69
6.2 ANEXO II............................................................................................... 70
6.2.1Dominios del Sistema de Gestin de Seguridad de la Informacin:.....70
6.3 ANEXO III.............................................................................................. 71
6.3.1ACCIN DE PERSONAL.........................................................................71
6.4 ANEXO IV.............................................................................................. 72
6.4.1POLTICAS DE SEGURIDAD...................................................................72
6.5 ANEXO V............................................................................................... 74
6.5.1Marco de referencia............................................................................. 74
6.5.2Qu es un SGSI?.................................................................................74
6.5.3Para qu sirve un SGSI?......................................................................76
6.5.4ISO (International Organization for Standardization)............................77
6.5.5Metodologa ISO27001.........................................................................81
6.6 ANEXO VI............................................................................................ 102
6.6.1Glosario.............................................................................................. 101
VIII
NDICE DE FIGURAS
Fig. F.1 SGSI Principios bsicos ...................... 13

Fig. F.2 Plan-Do-Check-Act Fuente: www.ISO27000.es ......... 16
Fig. F.3 Reclutamiento de personal ..... 18
Fig. F.4 Cese de funciones ........ 19
Fig. F.5 Mapa de ubicacin ....... 22
Fig. F.6 Organigrama Hospital de Nios Francisco Icaza Bustamante ...... 25
Fig. F.7 Anlisis de riegos ......... 30
Fig. F.8 Amenazas de entorno .......................................... 35
Fig. F.9 Amenazas del sistema .......... 36
Fig. F.10 Fallos de software ............................... 37
Fig. F.11 Errores del personal ... . 37
Fig. F.12 SGSI Principios bsicos ....................... 76
Fig. F.13 Procesamiento de la informacin - Fuente: www.ISO27000.es ......................82
Fig. F.14 Plan-Do-Check-Act Fuente: www.ISO27000.es .........83
Fig. F.15 Gestin de Riesgos Fuente: www.ISO27000.es ................................................87
IX
NDICE DE TABLAS
Tabla 1.1 Tipo de activos..... 31
Tabla 1.2 Catlogo de activos..............31
Tabla 1.3 Escala de puntuaciones de valores de los activos ...38
Tabla 1.4 Asignacin de valores a los activos ...............................38
Tabla 1.5 Ponderacin de degradacin...................................................39
Tabla 1.6 Ponderacin de ocurrencias........................................39
Tabla 1.7 Ponderacin de gestin...................................................39
Tabla 1.8 Anlisis de riesgos ..............................................43
Tabla 1.9 Escala de las ponderaciones de riesgos.............................44
Tabla 1.10 Riesgos encontrados en el organismo .................44
Tabla 1.11 Tratamiento de riesgo........45
Tabla 1.12 Documento de aplicabilidad..........................................46
CAPTULO 1
INTRODUCCIN
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
1 INTRODUCCIN
1.1 QU ES SEGURIDAD DE LA INFORMACIN?
Se entiende por seguridad de la informacin a todas aquellas medidas preventivas y
reactivas del hombre, de las organizaciones y de los sistema tecnolgicos que permitan
resguardar y proteger la informacin buscando mantener la confidencialidad, la
autenticidad y Integridad de la misma.
El concepto de seguridad de la informacin no debe ser confundido con el de seguridad
informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico,
pudiendo encontrar informacin en diferentes medios o formas.
Para el hombre como individuo, la seguridad de la informacin tiene un efecto
significativo respecto a su privacidad, la que puede cobrar distintas dimensiones
dependiendo de la cultura del mismo.
El campo de la seguridad de la informacin ha crecido y evolucionado
considerablemente a partir de la Segunda Guerra Mundial, convirtindose en una carrera
acreditada a nivel mundial.
Esta ofrece muchas reas de especializacin, incluidos la auditora de sistemas de
informacin, Planificacin de la continuidad del negocio, Ciencia Forense Digital y
Administracin de Sistemas de Gestin de Seguridad por nombrar algunos.
La necesidad de proteger los datos personales excede el mero inters del Hospital del
Nio Francisco Icaza Bustamante, (en adelante El Organismo).
Desde hace ms de una dcada la legislacin protege el honor y la intimidad de los
datos personales y familiares. Primero mediante la derogada Ley Orgnica 5/1992
conocida como LORTAD, y ms recientemente con la Ley Orgnica 15/1999 de
Proteccin de Datos de Carcter Personal, conocida como LOPD. La LOPD otorga una
serie de derechos a las personas cuyos datos sean objeto de tratamiento, y establece las
obligaciones de quienes efecten dichos tratamientos.
Informacin como el sueldo de los empleados, desempeo profesional o bajas laborales,
pertenece al departamento de Recursos Humanos y es considerada confidencial en
cualquier sector.
Por la naturaleza intrnseca de los datos de Recursos Humanos las obligaciones
establecidas en la LOPD deben ser consideradas con sumo rigor.
EDCOM
Pgina 11
ESPOL
Tesis de Grado
1.2 MARCO DE REFERENCIA

1.2.1
Qu es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la Seguridad

de la Informacin. ISMS es el concepto equivalente en idioma ingls, siglas de
Information Security Management System.
Se entiende por informacin todo aquel conjunto de datos organizados en poder de una
entidad que posean valor para la misma, independientemente de la forma en que se
guarde o transmita (escrita, en imgenes, oral, impresa en papel, almacenada
electrnicamente, proyectada, enviada por correo, fax o e-mail, transmitida en
conversaciones, etc.), de su origen (de la propia organizacin o de fuentes externas) o de
la fecha de elaboracin.
El propsito de un sistema de gestin de la seguridad de la informacin no es garantizar
la seguridad (que nunca podr ser absoluta) sino garantizar que los riesgos de la
seguridad de la informacin sean conocidos, asumidos, gestionados y minimizados por
la organizacin de una forma documentada, sistemtica, estructurada, continua,
repetible, eficiente y adaptada a los cambios que se produzcan en la organizacin, los
riesgos, el entorno y las tecnologas.
La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su
confidencialidad, integridad, disponibilidad y legalidad, as como de los sistemas
implicados en su tratamiento, dentro de una organizacin. As pues, estos cuatro
trminos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de
la informacin:
Integridad: Mantener la exactitud y completitud de la informacin y sus mtodos

de proceso.
Privacidad: La informacin no se pone a disposicin ni se revela a individuos,

entidades o procesos no autorizados.
Legalidad: La informacin debe de cumplir con las leyes vigentes dependiendo del
lugar donde se encuentran y son manejadas.
Disponibilidad: El acceso y la utilizacin de la informacin y los sistemas de

tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
EDCOM
Pgina 12
ESPOL
Tesis de Grado
Fig. F1 SGSI Principios bsicos.
Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe

hacer uso de un proceso sistemtico, documentado y conocido por toda la organizacin,
desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.
1.2.2
ISO (International Organization for Standardization)
La ISO es una federacin internacional con sede en Ginebra (Suiza) de los institutos de
normalizacin de 157 pases (uno por cada pas). Es una organizacin no gubernamental
(sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los
institutos de normalizacin nacionales es diferente en cada pas (entidad pblica,
privada).
La ISO desarrolla estndares requeridos por el mercado que representan un consenso de
sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios,
consumidores) acerca de productos, tecnologas, sistemas y mtodos de gestin, entre
otros.
Estos estndares, por naturaleza, son de aplicacin voluntaria, ya que el carcter no
gubernamental de ISO no le da autoridad legal para forzar su implantacin. Slo en
aquellos casos en los que un pas ha decidido adoptar un determinado estndar como
parte de su legislacin, puede convertirse en obligatorio.
La ISO garantiza un marco de amplia aceptacin mundial a travs de sus 3.000 grupos
tcnicos y ms de 50.000 expertos que colaboran en el desarrollo de estndares.
1.2.2.1
ISO 27000
La informacin es un activo vital para el xito y la continuidad en el mercado de

cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la
procesan es, por tanto, un objetivo de primer nivel para la organizacin.
EDCOM
Pgina 13
ESPOL
Tesis de Grado
Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un

sistema que aborde esta tarea de una forma metdica, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad
de la informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se
indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la
informacin (SGSI) basado en ISO 27001.
Su origen lo explicaremos ms adelante dentro de los anexos del documento.
1.2.3
Metodologa ISO27001
Es un estndar ISO que proporciona un modelo para establecer, implementar, utilizar,

monitorizar, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la
Informacin (SGSI). Se basa en el ciclo de vida PDCA (Planear-Hacer-Verificar-Actuar;
o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestin
(ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.).
De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI,
incluyendo una identificacin clara de las dependencias, relaciones y lmites que
existen entre el alcance y aquellas partes que no hayan sido consideradas (en
aquellos casos en los que el mbito de influencia del SGS considere un subconjunto
de la organizacin como delegaciones, divisiones, reas, procesos, sistemas o tareas
concretas).
Poltica y objetivos de seguridad: documento de contenido genrico que establece
el compromiso de la direccin y el enfoque de la organizacin en la gestin de la
seguridad de la informacin.
Procedimientos y mecanismos de control que soportan al SGSI: aquellos
procedimientos que regulan el propio funcionamiento del SGSI. Documentacin
necesaria para asegurar la planificacin, operacin y control de los procesos de
seguridad de la informacin, as como para la medida de la eficacia de los controles
implantados -Mtricas.
EDCOM
Pgina 14
ESPOL
Tesis de Grado
Enfoque de evaluacin de riesgos: descripcin de la metodologa a emplear (cmo

se realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de
ocurrencia e impactos en relacin a los activos de informacin contenidos dentro
del alcance seleccionado), desarrollo de criterios de aceptacin de riesgo y fijacin
de niveles de riesgo aceptables .
Informe de evaluacin de riesgos: estudio resultante de aplicar la metodologa de
evaluacin anteriormente mencionada a los activos de informacin de la
organizacin.
Plan de tratamiento de riesgos: documento que identifica las acciones de la

direccin, los recursos, las responsabilidades y las prioridades para gestionar los
riesgos de seguridad de la informacin, en funcin de las conclusiones obtenidas de
la evaluacin de riesgos, de los objetivos de control identificados, de los recursos
disponibles, etc.
Procedimientos documentados: todos los necesarios para asegurar la planificacin,
operacin y control de los procesos de seguridad de la informacin, as como para
la medida de la eficacia de los controles implantados.
Registros: documentos que proporcionan evidencias de la conformidad con los
requisitos y del funcionamiento eficaz del SGSI.
Declaracin de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas
inglesas); documento que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de evaluacin y
tratamiento de riesgos, justificando inclusiones y exclusiones.
1.2.3.1
Cmo se implementa un SGSI?
Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en

base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de
gestin de la calidad.
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.
.
EDCOM
Pgina 15
ESPOL
Tesis de Grado
Fig. F.2 Plan-Do-Check-Act Fuente:

www.ISO27000.es
1.2.3.2
La seguridad en los Recursos Humanos
La gestin de la seguridad de la informacin, al igual que la mayora de los mbitos de

la gestin empresarial, depende principalmente de las personas que componen la
Organizacin. La informacin slo tiene sentido cuando es utilizada por las personas y
son estas, quienes en ltimo trmino, deben gestionar adecuadamente este importante
EDCOM
Pgina 16
ESPOL
Tesis de Grado
recurso de la empresa. Por tanto, no se puede proteger adecuadamente la informacin

sin una correcta gestin de los Recursos Humanos.
Pero sin duda, una de las reas que ms importancia tiene en la seguridad de la
informacin es el departamento encargado de gestionar los Recursos Humanos.
Aspectos como la formacin de los empleados, la captacin y seleccin de nuevos
miembros de la plantilla, la gestin de empleados que abandonan la Organizacin o la
implementacin de la normativa interna, son fundamentales en el tema que nos ocupa.
Todas las claves que se van a desarrollar en el presente artculo, se podran resumir en
una sola frase: conseguir que los criterios de seguridad estn presentes en la gestin de
los Recursos Humanos. Un magnfico punto de partida podra ser que los responsables
de Seguridad y Recursos Humanos se sienten juntos y compartan impresiones.
Entre tanto, podemos anticipar algunos aspectos fundamentales a tener en cuenta.
Reclutamiento y salida de empleados.
Existen dos puntos fundamentales en el ciclo de vida de todo empleado en
Organizacin: El inicio de su actividad profesional y la finalizacin de la misma.
una
1.2.3.2.1 Reclutamiento
Cada nuevo empleado de la Organizacin es una apuesta de futuro. La empresa asigna
una serie de tareas y responsabilidades al nuevo empleado, y proporciona los medios
materiales y la informacin necesaria para que pueda llevarlas a cabo. Debe existir un
procedimiento de reclutamiento que tenga en cuenta los siguientes aspectos relativos a
la seguridad:
Definicin del puesto: Para cada nueva vacante se debe definir la criticidad del
puesto a cubrir segn su responsabilidad y la informacin que maneja. Cada
empresa debe definir su criterio propio. Algunos puestos crticos pueden ser
directivos, personal de seguridad, personal de contabilidad, etc.
Seleccin: En la seleccin de candidatos a puestos crticos se deben comprobar los
antecedentes penales y las referencias profesionales.
Contrato: El contrato laboral debe incluir los correspondientes acuerdos de
confidencialidad, propiedad intelectual y proteccin de datos.
Comienzo: Durante los primeros das de trabajo, es recomendable que el empleado:
Asista a unas sesiones de formacin donde se le introduzca en la

normativa interna y de seguridad de la empresa. De este modo todo empleado
EDCOM
Pgina 17
ESPOL
Tesis de Grado
conoce sus obligaciones de seguridad tales como la proteccin de sus claves de

acceso, uso adecuado del email e internet, clasificacin de la informacin, etc.
Reciba el manual de normativa interna y firme el compromiso de

cumplimiento del mismo. Este trmite establece formalmente las normas
internas y garantiza que el empleado conoce la normativa existente.
Accesos: Los accesos a la informacin y sistemas informticos deben ser solicitados

siempre por el responsable directo del empleado al departamento Centro de Cmputo.
Dichos accesos deben ser siempre justificables por la labor que se va a realizar, y en
caso de ser privilegiados, el Departamento de Seguridad debe aprobar su concesin.
Fig. F.3 Reclutamiento de personal
1.2.3.2.2 Salida de empleados

La salida de un empleado es un punto crtico de riesgo para la Organizacin. En casos
de problemas laborales y despidos, un empleado modelo hasta la fecha, puede
convertirse en una seria amenaza. La historia reciente est plagada de casos de sabotaje
o substraccin de informacin por parte de empleados disgustados.
Lamentablemente, es bastante comn que no se gestionen coordinadamente las bajas de
los empleados. En muchas ocasiones, Recursos Humanos se encarga de realizar los
trmites legales de la baja, mientras que el responsable del empleado es quien trata
directamente con l y planifica el traspaso de su trabajo. Por otro lado, IT se ocupa de
dar de baja sus accesos (en el momento en que perciben su ausencia). Este escenario
acaba degenerando en problemas tales como que los accesos de los ex empleados siguen
EDCOM
Pgina 18
ESPOL
Tesis de Grado
vigentes durante meses, o que tras la marcha del empleado no es posible recuperar cierta
informacin vital que posea. Para evitar todo esto, debe existir un procedimiento de
bajas que tenga en cuenta los siguientes aspectos de seguridad:
Clasificacin de las bajas: El responsable del empleado junto con Recursos Humanos
debe clasificar la baja segn las circunstancias que la rodean. Un ejemplo de posibles
categoras sera:
Renuncia
Muerte
Jubilacin obligatoria
Jubilacin anticipada
Destitucin
o Sumario administrativo
o Sancin
Supresin de puestos
Fig. F.4 Cese de funciones

EDCOM
Pgina 19
ESPOL
CAPTULO 2
BREVE HISTORIA DE
LA EMPRESA
Tesis de Grado
2 BREVE HISTORIA DE LA EMPRESA

2.1 HOSPITAL DEL NIO FRANCISCO ICAZA BUSTAMANTE
2.1.1
Resea histrica
La fecha de fundacin e historia. El Hospital del Nio
Dr. Francisco de Icaza Bustamante inaugur la
consulta externa el 11 de enero de 1982, y
hospitalizacin el 7 de octubre de 1985.
La comunidad guayaquilea caracterizada por
enfrentar grandes desafos, reunida el mes de
diciembre de 1951, en el club de leones analizando los
mltiples problemas de la ciudad encontr eco en la
voz del Dr. Rosendo Arosemena Elizalde, quien
plantea la necesidad de construir un nuevo hospital
peditrico para atender a los nios pobres de
Guayaquil.
La idea fue descartada inicialmente por la magnitud que la obra significaba.

Fue el Sr. Alberto Enrquez navarro, quien con profunda fe convence a la directiva para
encargar este gran problema, y recogiendo el reto como propio propuso asumir la
empresa mediante la creacin de un comit especial, nace entonces en el mes de febrero
de 1952, el comit pre-construccin del moderno Hospital del Nio del Club de Leones
de Guayaquil, teniendo como Director Ejecutivo al mencionado seor Alberto Enrquez
Navarro; acompaado en otras dignidades por los seores: Dr. Francisco de Icaza
Bustamante, Presidente de honor, Sr. Julio C. Moreno: presidente del Club de Leones,
Sr. Jorge Chiriboga Founes: Subdirector, Dr. Rosendo Arosemena Elizalde:
Coordinador, Dr. Alfredo Valenzuela Barriga: Asesor mdico, Dr. Wenceslao Nowak
Ycaza Cornejo, Tesorero Dr. Rigoberto Ortiz Bermeo: Sindico, Dr. Ral Clemente
Huerta: Comisionado de Finanzas, Sr. Francisco Illingworth Icaza: Comisionado tcnico
y otros distinguidos caballeros representantes de las sociedades mdicas de la ciudad y
de la prensa escrita.
2.1.2
Justificacin
La grave crisis de salud en el pas demanda la necesidad de intensificar la

modernizacin del sector y el fortalecimiento institucional del Ministerio de Salud
Pblica, que aun esfuerzo y recursos entre s y con otros sectores en procura de
contribuir al ptimo aprovechamiento de los escasos recursos para el mejoramiento de
las condiciones de salud y de vida de toda la poblacin.
EDCOM
Pgina 21
ESPOL
Tesis de Grado
2.1.3
Visin
Ser lderes en el pas en atencin peditrica y juvenil con recursos humanos altamente
calificado, motivado, humanizado con educacin continua gestionando recursos
financieros que nos permiten contar tecnologa de punta con un sistema de referencia y
contra referencia implementando, coordinando acciones interinstitucionales y de
participacin comunitaria.
2.1.4
Misin
Brindar servicios de atencin pediatra y de subespecialidades, clnica, Quirrgica:

Ambulatoria, hospitalizacin y emergencia. Las 24 horas al da en salud integral con
calidad, calidez, eficiencia y efectividad a la poblacin menor de 15 aos del pas.
2.1.5
Ubicacin
Las instalaciones del Hospital Francisco Icaza Bustamante estn ubicadas en las calles
Avda. Quito y Gmez Rendn
Fig. F.5 Mapa de ubicacin
EDCOM
Pgina 22
ESPOL
Tesis de Grado
2.2 ORGANIZACIN
El Hospital Francisco Icaza Bustamante es uno de los ms grandes a nivel nacional,
atendiendo no solo a pacientes de la regin, sino que tambin existen pequeos de otras
provincias que necesitan ser atendidos en sus instalaciones, para ello, existen
actualmente 1.300 trabajadores que desempean sus funciones en el Hospital del Nio
Francisco Icaza Bustamante; incluyendo:
-
Mdicos generales
Mdicos especialista
Trabajadores de mantenimiento
Trabajadores de servicios generales
Administrativo
La mxima autoridad dentro de la Organizacin es el Director general, teniendo a su vez

la Subdireccin Mdica y la Subdireccin Administrativa dirigiendo cada una de las
subdivisiones establecidas. Los empleados estn divididos dependiendo su desempeo
bajo una de las subdirecciones respectivamente.
Existen actualmente 17 reas establecidas dentro del funcionamiento del Organismos,
de las cuales 5 estn bajo las normas del Cdigo de Trabajo ya que sus funciones no son
del mbito profesional sino ms bien dirigido hacia los Servicios Varios que se
desempean en el mismo, por lo que no son incluidos en los de carcter profesional.
Todas las decisiones que se toman con respecto al personal se rigen bajo la Ley
Orgnica de Servicio Pblico ( LOSEP ); y cada proceso que se inicia esta supervisado
por la Subsecretara de Desarrollo Civil de RRHH y por el Ministerio de Recursos
Humanos, quienes conjuntamente con la direccin del Hospital elaboran instructivos
para el Sistema de Integracin de RRHH, basados en los siguientes Items:
Reclutamiento y Seleccin
- Norma tcnica de seleccin y concurso
- Instructivo para llenar vacante
Clasificacin de puestos
- Una vez al ao, Analistas del ministerio actualizan la tabla de clasificacin de
puestos bajos una norma tcnica para evaluar cada uno de los puestos
establecidos y su ptimo funcionamiento.
Sistema de evaluacin de desempeo
- Existen grados de evaluacin de cada uno de los trabajadores, tabla que va
desde (excelente deficiente) la misma que es usada para examinar las
funciones de los empleados, en la que se podr otorgar un ascenso o en una
baja laboral dependiendo de cada caso en particular.
Capacitacin
EDCOM
Pgina 23
ESPOL
Tesis de Grado
Una vez al ao el jefe de cada rea propone un cuadro de capacitacin para

los elementos de su rea y asi mantener la eficiencia de su alternos,
capacitacin que es de carcter obligatoria para el continuo funcionamiento
de sus funciones.
Planificacin de RRHH
- Anualmente se realiza un estudio en la que se evala la necesidad de la
creacin de puestos o la de suprimir puestos o la de fusin de los mismos.
2.2.1
Clasificacin de contratos
Actualmente los contratos laborales son determinados dependiendo de las funciones a

ejercer y las necesidades que existen para cubrir las vacantes. El jefe de rea es quien
comunica la necesidad de cubrir un puesto especfico, el Director General es quien
otorga el consentimiento y es el responsable directo de la convocatoria a concurso para
cubrir la plaza disponible.
Todas las plazas son cubiertas mediante el sistema de merecimiento y oposicin en el
cul los aspirantes se someten a evaluaciones especficas, quedando seleccionado el ms
idneo dependiendo de las calificaciones obtenidas.
2.2.2
Nombramiento ganador de concurso indefinido

Nombramiento ganador de concurso a plazo fijo
Nombramiento provisional
Contratos ocasionales
Clasificacin de bajas
La tabla de bajas est establecida de la siguiente manera:
Renuncias
Muerte
Jubilacin obligatoria (70 aos)
Jubilacin voluntaria
Destitucin por sumario administrativo
Destitucin por sancin
Supresin de puestos por accin de personal
Supresin de puestos por bonificacin
Agradecimiento de servicio
Ascenso
EDCOM
Pgina 24
ESPOL
Tesis de Grado
Sistema de Gestin de Seguridad de la Informacin
EDCOM
ESPOL
Pgina 25
Tesis de Grado
Fig. F.6 Organigrama Hospital de Nios Francisco Icaza
Bustamante
EDCOM
ESPOL
Pgina 26
CAPTULO 3
PLANIFICACIN
Tesis de Grado
3 PLANIFICACIN
3.1 ALCANCES Y LMITES DEL SISTEMA
3.1.1
Qu es?
Elegir adecuadamente el alcance es de suma importancia a la hora de abordar la

implantacin de un SGSI; Un alcance excesivo puede hacer un proyecto inabordable y
llevarlo al fracaso; un alcance muy reducido puede no contemplar aspectos importantes
y dar resultado que no sea til para los propsitos de la organizacin.
Para una correcta delimitacin del alcance hay que combinar criterios de negocio,
criterios organizativos y criterios tcnicos
La norma ISO27000 nos define una lista de dominios en los que se debe aplicar la
Seguridad de la Informacin la misma que se encuentra en el ANEXO
En este proyecto de tesis al ser de corto tiempo de duracin y sumando adems que el
Organismo a implantar el SGSI es muy grande de abarcar, hemos tomado la decisin:
El sistema de gestin de seguridad de la informacin est destinado cubrir toda la
informacin que queda expuesta a sufrir cambios, alteraciones o robo cuando un
empleado de la Organizacin da por terminada la relacin laboral o existen una
modificacin de la misma.
3.1.2
Alcance del Sistema planteado al Organismo
El modelo de SGSI orientado al Organismo se aplicar en los siguientes ambientes:

Recursos humanos al finalizar su relacin laboral:
Destitucin
Renuncias
Muerte
Jubilacin
Supresin de puestos
El Sistema de Seguridad ser lo suficientemente eficaz para proteger la informacin en
el momento en que un empleado cese sus funciones o sean modificadas, bloqueando su
acceso y eliminando sus privilegios con respecto a la informacin exclusiva del
Organismo.
EDCOM
Pgina 28
ESPOL
Tesis de Grado
3.2 POLTICAS DE SEGURIDAD

3.2.1
Definicin
"Las Polticas son documentos de alto nivel. Ellas representan la filosofa corporativa
de una organizacin y el pensamiento estratgico de la alta gerencia y de los dueos de
los procesos del negocio. Las polticas deben ser claras y concisas para que sean
efectivas. La administracin debe crear un ambiente de control positivo, asumiendo la
responsabilidad de formular, desarrollar, documentar, promulgar y controlar las polticas
que abarcan las metas y las directrices generales.
3.2.2
Consideraciones Generales
Como mnimo, en Recursos Humanos se manejan datos de nivel medio (datos

financieros), pero es muy comn que el nivel realmente sea el alto: informacin sobre
bajas laborales o discapacidades otorgan al fichero de empleados el nivel alto y
convierten al departamento de Recursos Humanos en el de mayor importancia en la
proteccin de datos personales.
La Direccin General del Organismo, a travs del Centro de Cmputo facilita a los
usuarios el equipamiento informtico necesario para la realizacin de las tareas
relacionadas con su puesto de trabajo.
Los equipos y dispositivos de cmputo son bienes del Organismo y el cuidado y buen
funcionamiento de estos equipos depende de todos los colaboradores y funcionarios del
mismo.
El cuidado del computador y los ambientes computacionales facilitan el normal
desarrollo de las actividades cotidianas.
Estas Polticas y Procedimientos sern aplicados en las instalaciones designadas al uso
de RRHH. Del Organismo, las mismas que sern reconocidas y acatadas por todos los
colaboradores y funcionarios del mismo.
Tambin se involucran a terceros que tengan acceso fsico, acceso a cualquier recurso
informtico o de informacin sea digital o impresa que sean de propiedad de RRHH del
Organismo.
3.2.3
Polticas
PS 1. La formacin ser obligatoria antes de asumir una responsabilidad, tanto si
es su primera asignacin o si se trata de un cambio de puesto de trabajo o de
responsabilidades en el mismo.
PS 2. En el momento de la contratacin ser obligado un compromiso por escrito
en que se acepta la confidencialidad de cada una de sus labores mantenidas
con la organizacin.
EDCOM
Pgina 29
ESPOL
Tesis de Grado
PS 3. Con el fin de mantener la integridad del sistema es estrictamente necesario

cumplir las medidas de seguridad establecidas en cada momento.
PS 4. Toda persona que utilice un ordenador en su trabajo habitual deber
identificarse para su uso con un nombre de usuario, facilitado por el
Centro de Cmputo, y una contrasea, construida por el propio usuario
segn las normas definidas por dicha centro; las mismas que sern retiradas
al usuario en el momento de la baja laboral.
PS 5. Con objeto de mejorar las prestaciones del sistema y ante posibles averas o
incidencias se recomienda tener organizados los datos en carpetas y
subcarpetas y eliminar los datos innecesarios, sobre todo los que afectan al
correo electrnico, los mismos que debern quedar registrados en el
computador al momento del proceso de terminacin laboral, para su posible
necesidad.
PS 6. Cada usuario ser responsable de la integridad de la informacin
almacenada en el ordenador personal que tenga asignado, que dispone de
grabador de CD's para facilitar las tareas de salvaguarda, los mismos que
quedarn a disposicin de la organizacin.
PS 7. Cada persona que en su momento de contratacin haya adquirido una serie
de elementos ya sean equipos, archivos, manuales, dispositivos de
almacenamiento, etc. estos sern registrados en un inventario de aceptacin.
Y se ha comprometido por escrito a su total devolucin en las mismas
condiciones en el momento de su baja laboral.
PS 8. La organizacin debe ser proactivo en el cumplimiento de la ley y la
proteccin de sus datos, no conviene olvidar que, segn el artculo 12 de la
LOPD, aunque la gestin de nminas o trmites legales est subcontratada,
la titularidad de los datos y responsabilidad final no puede ser delegada.
Existe la obligacin de asegurar que cualquier tercera parte protege la
informacin adecuadamente.
PS 9. Sern de obligada observancia la cautela y el celo profesional en el
tratamiento de cualquier tipo de informacin mecanizada que se gestione
en funcin de las tareas asignadas a cada usuario. Se tendr especial
cuidado con los datos de carcter confidencial.
PS 10.Las historias clnicas de los pacientes, son consideradas como informacin
confidencial entre el paciente y el mdico.
PS 11.Las historias clnicas de los pacientes, son de dominio privado, por lo que
se prohbe su uso fuera de las instalaciones del Organismo.
PS 12.Las historias clnicas deben ser de nico inters mdico, por lo que no
compete el uso con fines diferentes.
EDCOM
Pgina 30
ESPOL
Tesis de Grado
PS 13. La informacin
del personal del Organismos son de carcter

confidencial; dado que no existe an una ley reguladora que proteja los
datos personales se podra acogerse a la institucin del Hbeas Data,
establecida en el artculo 94 de la Constitucin.
3.3 ANLISIS DE RIESGOS

3.3.1
Qu es?
El anlisis de riesgos es una herramienta que permite identificar, clasificar y valorar los
eventos que pueden amenazar la consecucin de los objetivos de la Organizacin y
establecer las medidas oportunas para reducir el impacto esperado hasta un nivel
aceptable.
El anlisis de riesgo puede tener distintos destinatarios dentro de la organizacin. Cada
destinatario necesita esta informacin para fines distintos, y por ello, necesita recibir la
informacin presentada de forma diferente
3.3.2
Consideracin Del Riesgo
El riesgo, en la medida en que supone una exposicin potencial a un impacto negativo

para el cumplimiento de los objetivos de una Organizacin, tiene una connotacin
negativa.
EDCOM
Pgina 31
ESPOL
Tesis de Grado
Fig. F.7 Anlisis de riegos
EDCOM
Pgina 32
ESPOL
Tesis de Grado
3.4
3.4.1
Identificacin de Activos
3.4.1.1
Qu es?
Un activo es todo aquello que contiene informacin que sea de

vital importancia para la Organizacin.
3.4.1.2
Tipos de activos
1
2
3
4
5
6
7
8
SERVICIO
DATOS
APLICACIONES
EQUIPOS
INFORMTICOS
SOPORTE DE
INFORMACIN
EQUIPAMIENTO
AUXILIAR
INSTALACIONES
PERSONAL
Tabla 1.1 Tipos de activos
3.4.1.3
Catlogo de Activos
A.00 DATOS
Base de datos ministerial de
A-01 empleados
A-02 Base de datos propia de empleados
A-03 Registros de roles
A-04 Registros de IESS
A-05 Registro de inventario asignado
3.4.1.4
Descripcin
general de activos A-06 Archivos vida laboral de empleados
A-07 Archivos de pacientes
Cdigo:
A-01 E-00 APLICACIONES
Nombre
de
Activo: Base de E-01 ESIPREN
datos ministerial
de empleados.
D-00 PERSONAL
Descripcin: Base D-01 Director general
de
datos
que
registra
todos
los
D-02 Jefe de reas administrativas
empleados S-00 EQUIPO IINFORMTICO
que prestan sus
S-01 CPU
servicios
al
Organismo,
H-00 INSTALACIONES
cubre
todos los niveles
H-01 reas restringidas
jerrquicos;
incluyen campos Tabla
de datos
de nombre,
apellido, documento identidad, cdigo
1.2 Catalogo
de activos
de empleado, fecha de alta, puesto que cubre, ascensos, procesos disciplinarios;
EDCOM
Pgina 33
ESPOL
Tesis de Grado
es decir, toda la vida laboral que ha tenido dentro de la Organizacin. Esta base
de datos est bajo el dominio del Ministerio de Salud, compartida con el
Ministerio de Finanzas y el Organismo el que est a cargo de su
mantenimiento, y actualizacin.
El acceso a la base de datos es a travs de conexin internet, el software que se
ejecuta para el mantenimiento y la actualizacin est instalado en solo una
mquina del Dpto. de RRHH.
Su acceso a travs de la aplicacin est asignado a una sola persona del Dpto.,
la misma que tiene asignado un USER y un PASSWORD, el mismo que es
compartido con el Director del Dpto. de RRHH paro su uso en caso de
ausencia o algn otro imprevisto.
Los datos pueden ser consultados por el Dpto. de Nmina bajo un USER y un
PASSOWRD con acceso de solo lectura.
Cdigo: A-02 Nombre de Activo: Base de datos propia de empleados
Descripcin: Base de datos de los empleados del Organismo; cubre todas las reas y
todos los niveles jerrquicos. El acceso est controlado con USER y
PASSORD, los mismos que son de poca confidencialidad entre los empleados
del Dpto. Su uso es de poca utilidad ya que solo es a nivel de consulta, ya sea
de puesto a cargo, aos de antigedad, jefe inmediato u rea de trabajo. Su
modificacin no es de asignacin especfica dentro de los empleados del rea
de RRHH. el cual puede ser ejecutado por cualquiera que lo necesite.
Cdigo: A-03 Nombre del Activo: Registro de Roles
Descripcin: Los Roles de pago de cada empleado son almacenados en hojas de clculo
(Excel) los mismos que son guardados en el servidor, su acceso se permite
exclusivamente al Departamento de Roles de Pago, pero la informacin que
contiene no es de uso exclusivo del Dpto. ya que se puede visualizar de
muchsimas formas, ya que an no conciben la idea de que es informacin
confidencial, que compete nicamente al empleado. Por ejemplo, al firmar el
recibido del rol de pago, se entrega al empleado un listado donde estn
registrados los empleados en orden alfabtico con nombre, cargo, sueldo,
descuentos y datos adicionales, que pueden ser ledos con total libertad.
Cdigo: A-05 Nombre del activo: Registro de inventario asignado

Descripcin: En el momento de ingreso de un empleado, o en el cambio de funciones,
segn sea el caso; dependiendo de su nivel jerrquico, se le puede o no asignar
el uso y la responsabilidad de ciertos equipos con los que podr realizar sus
EDCOM
Pgina 34
ESPOL
Tesis de Grado
funciones, sean estos de carcter tcnicos, mdicos, informticos o de cualquier

otro nivel, estos quedan asentados en un registro de inventario asignado, el
mismo que puede ser consultado previa peticin al encargado de inventarios
sin que sea necesario mayor control de acceso a dicha informacin.
Cdigo: A-06 Nombre del activo: Archivos vida laboral de empleados
Descripcin: Cada empleado tiene asignado un folder, en el que contiene cada una de
las actividades que van surgiendo en el cumplimiento de sus funciones, como
por ejemplo los memorndum enviados, las vacaciones disfrutadas, los
ascensos, las sanciones recibidas y dems; estos folders a su vez son
contenidos dentro de archivadores que se encuentran en una pequea rea
perteneciente al Dpto. de RRHH. y que son resguardados por una puerta de
acceso con llave de seguridad, la misma que se encuentra bajo el resguardo de
una persona a cargo, pero que son guardadas dentro del Dpto. al alcance de
cualquier necesidad. Estos documentos son originales sin copia que estn sin
ningn sistema de seguridad, llmese a estos: detector de humo, detector de
incendio, alarma, e incluso impermeabilizacin del rea.
Cdigo: A-07 Nombre del activo: Archivos de pacientes
Descripcin: En el primer momento que un infante tiene contacto con el Organismo, se
crea una carpeta con un cdigo asignado al que le llamarn historia clnica. En
esta carpeta se registra y almacena cada una de las citas realizadas por el menor
as como los diagnsticos y tratamientos que han suscitado como tambin las
pruebas mdicas solicitadas con sus respectivos desgloses de informacin.
Estas carpetas son almacenadas dentro del Dpto. de Estadstica, y en el
momento que el paciente regresa a consulta, la carpeta es retirada de su lugar,
para ser enviada al mdico asignado. Generalmente las carpetas de cada
mdico son trasladadas por personal destinado a esas funciones, aunque se
crean situaciones en las que el mdico tiene la necesidad de solicitar la carpeta
de su paciente a travs de personal ajeno a estas funciones, los mismos que
pueden retirar la carpeta del Dpto. de Estadstica sin ningn control o medida
de seguridad que justifique la salida de documentacin privada de los
pacientes. Permitiendo incluso que la documentacin salga de los lmites de
la Organizacin sin motivos concretos.
Cdigo: E-01 Nombre del Activo: Esipren

Descripcin: Este software sirve para trabajar conjuntamente con el Ministerio de
Salud, est instalado en una sola mquina del Dpto. de RRHH. Solo una
EDCOM
Pgina 35
ESPOL
Tesis de Grado
persona tiene acceso con un USER y PASWORD a todos los procesos que
contiene. El USER y PASWORD es compartido con el jefe del departamento.
Este software es utilizado para el registro de alta de cada empleado, consulta de
roles, consulta de la vida laboral de cada empleado; al momento del cese del
empleo, es dado de baja a travs del software, registrndose en la base de datos
del Ministerio de Finanzas y de Salud la desvinculacin del mismo con el
Organismo. Es decir, todo proceso, modificacin o registro que se haga desde
el software, se ver reflejado ambos Ministerios.
Cdigo: H-01 Nombre del activo: reas restringidas
Descripcin: Existen reas en las que se manejan informacin confidencial, tanto del
paciente como del personal que labora en la Organizacin; lugares como Caja
donde se entregan los roles dejando el libre acceso de la informacin de cada
empleado; el rea destinado a los archivadores de la vida laboral de cada
empleado; el rea de estadstica donde se archivan las carpetas de las historias
clnicas de cada paciente; el rea de centro de cmputo que no cuenta con un
bloqueo en la puerta de acceso que limite el paso a personas ajenas al mismo.
En general, el Organismo no ha transmitido durante todos estos aos de
funcin, la necesidad del resguardo de cada informacin que maneja, dejando
los accesos fsicos de las reas a libre disposicin del personal.
Cdigo: D-01 Nombre del activo: Director General
Descripcin: El cargo desempea muchas obligaciones, responsabilidades y derechos
para poder realizar todas las funciones necesarias en el buen manejo de las
diversas situaciones que acontecen dentro del Organismo. Es as que cada
cambio de direccin que ha tenido el Organismo ha necesitado un periodo de
adaptacin y ubicacin para poder continuar con las funciones; esto se debe a
todo el conocimiento y experiencia acumulada que da a da se necesita para
poder afrontar el cargo, conocimiento que no se deja plasmado en un
documento y que deja un vaco notorio en cada proceso de cambio, es
obligacin urgente para cada nuevo Director, el ponerse al da en los caminos y
procesos establecidos que no estn registrados en ninguna parte, experiencia
que toca volver a vivirlas para poder tener planteado los pasos a seguir en
algunas situaciones que no son nuevas dentro del Organismo.
Cdigo: D-02 Nombre del activo: Jefe de reas
Descripcin: El cargo de jefe es asignado al empleado que por mritos y experiencia
est plenamente capacitado; pero al igual que cualquier ascenso el cambio de
funciones que necesita un periodo de adaptacin, procedimientos que necesitan
cambios, procesos que mejoran, problemas que buscan otra va de solucin,

etc. Experiencia que se acumula da a da y que queda registrado solamente en
quien ocupa el cargo y no en el cargo especficamente. Por lo que es notorio la
EDCOM
Pgina 36
ESPOL
Tesis de Grado
falta de documentacin que ayude a la resolucin de problemas ya vividos, y

que necesitan ser re-planteados en busca de soluciones. Es esa informacin que
posee quien ocupa el cargo, que es necesaria para la continuidad de las
funciones.
3.5 AMENAZAS DE LOS ACTIVOS

3.5.1
Qu es?
Llmese amenaza a una declaracin intencionada para hacer un dao, como por
ejemplo mediante un virus, un acceso no autorizado o robo.
Pero no se debe pensar que nicamente personas pueden ser los causantes de estos
daos, pues existen otros factores como las causas naturales, que son capaces de
desencadenar daos materiales o prdidas inmateriales en los activos, y son tambin
consideradas como amenazas.
Una vez identificados los procesos involucrados en la gestin de clientes, el siguiente
paso es identificar las principales amenazas que pueden afectar a los activos de
informacin. Las amenazas pueden tener un origen natural o humano, y pueden ser
accidentales o deliberadas.
Amenazas del entorno:
Las amenazas generadas por el entorno pueden ser catstrofes naturales (inundaciones,
tormentas, terremotos, etc.), acciones de origen humano intencionadas (posibles robos,
asaltos, errores tcnicos, etc.), o accidentales como el corte del suministro elctrico.
Fig. F.8 Amenazas de entorno
Amenazas propias del sistema de informacin:
EDCOM
Pgina 37
ESPOL
Tesis de Grado
Las principales amenazas que pueden sufrir los sistemas de informacin son las que
afectan a alguno de los elementos que lo forman o explotan. Podemos distinguir tres
grupos:
- hardware
- software
- personal que utiliza cualquiera de los dos recursos anteriores.
En los equipos fsicos del sistema de informacin (servidores, equipos informticos y
hardware de comunicaciones), existen amenazas debidas a errores de uso o
mantenimiento, y a fallos o averas de cualquiera de sus componentes.
Fig. F.9 Amenazas del sistema
En relacin al software de tratamiento de la informacin (sistema operativos,

aplicaciones de negocio, ofimtica, etc.) las principales amenazas pueden ser fallos en
programacin (que permitan la existencia de puertas traseras, errores en la realizacin
de clculos, etc.), y cdigo malicioso como son los virus informticos, gusanos,
troyanos, etc.
EDCOM
Pgina 38
ESPOL
Tesis de Grado
Fig. F.10 Fallos de software
Respecto al uso que realiza el personal de la empresa en el desarrollo de la gestin del

pedido, las posibles amenazas son: errores no intencionados -como el borrado
accidental de informacin o la mala introduccin de datos- y amenazas de origen
intencionado, como posibles robos o filtraciones de informacin.
Fig. F.11 Errores del personal
EDCOM
Pgina 39
ESPOL
Tesis de Grado
3.5.2
Valoracin de Activos
Los activos sern puntuados dependiendo de una tabla de ponderaciones en las que se
evala la disponibilidad, integridad, confidencialidad de cada uno de los activos. Al
obtener cada uno de los puntajes asignados estos se promedian para poder obtener la
valoracin final de cada uno, dato que nos servir para calcular el nivel de riesgo.
VALOR = PROM (DISPONIBILIDAD+INTEGRIDAD+CONFIABILIDAD)
PUNTUACIN
5
4
3
2
1
DISPONIBILIDAD
siempre
exenta por horas
exenta por 24h
exenta por 48h
exenta varios das
INTEGRIDAD
extrema
importante
media
no importante
insignificante
CONFIDENCIALIDAD
uso confidencial
uso restringido
semi-restringido
uso interno
acceso pblico
Tabla 1.3 Escala de puntuaciones de valores de

los activos
3.5.3
Valoracin de Activos
A.00
A-01
A-02
A-03
A-04
A-05
A-06
A-07
DATOS
Base de datos ministerial de empleados
Base de datos propia de empleados
Registros de roles
Registros de IESS
Registro de inventario asignado
Archivos vida laboral de empleados
Archivos de pacientes
E-00 APLICACIONES
E-01 ESIPREN
Disp.
5
4
5
5
4
5
5
Disp.
5
Integridad
5
5
5
5
5
5
5
Confid.
5
5
4
4
1
4
5
VALOR
5
5
5
5
3
5
5
Integridad Confid. VALOR

5
4
5
D-00 PERSONAL
D-01 Director general
D-02 Jefe de reas administrativas
Disp.
4
4
Integridad Confid.
5
5
4
5
VALOR
5
4
S-00 EQUIPO INFORMTICO

S-01 Punto de acceso (CPU)
Disp.
3
Integridad Confid.
5
3
VALOR
4
H-00 INSTALACIONES
H-01 reas restringidas
Disp.
5
Integridad Confid.
5
5
VALOR
5
Tabla 1.4 Asignacin de valores a los activos
EDCOM
Pgina 40
ESPOL
Tesis de Grado
3.5.4
TABLAS DE PUNTUACIN DEL ANLISIS DE RIESGO
Tabla 1.5 Ponderacin de

Degradacin
Tabla 1.6 Ponderacin de

Ocurrencias
Tabla 1.7 Ponderacin de Gestin
Realizaremos el clculo del anlisis de riesgos, habiendo obtenido las ponderaciones

anteriores dependiendo de cada activo; el valor de riesgo de cada activo se obtiene:
RIESGO = VALOR * DEGRADACIN * OCURRENCIA
Con el valor del riego de cada uno de los activos deberemos evaluar la capacidad de las
polticas establecidas para detectar cada una de las amenazas cuando afectan al activo;
el valor NPR es el que finalmente evaluaremos para clasificar los riesgos a los que
deberan aplicarse controles
NPR = RIESGO * PROB DE GESTIN
EDCOM
Pgina 41
ESPOL
Tesis de Grado
NPR ACTUAL
VAL. DE LA GESTIN
CONTR ACTUAL
NIVEL DE RIESGOS
PROB. DE FALLA
DEGRADACIN
AMENAZA
VALOR
CDIGO ACTIVO
3.6 HOJA DE CLCULO DE ANLISIS DE RIESGOS
A-01 5
Alteracin de la Informacin
100%
EXISTE
15
A-01 5
Introduccin de inf. Incorrecta
100%
EXISTE
25
A-01 5
Destruccin de la Informacin
75%
EXISTE
16
A-01 5
Divulgacin de La informacin
75%
EXISTE
20
A-01 5
Manipulacin de la Configur.
75%
EXISTE
12
A-01 5
Acceso no Autorizado
75%
EXISTE
16
A-01 5
Interceptacin de Informacin
75%
EXISTE
20
A-01 5
Corrupcin de la informacin
75%
EXISTE
20
A-02 5
100%
NO EXISTE
20
A-02 5
100%
10
NO EXISTE
20
A-02 5
100%
NO EXISTE
15
A-02 5
50%
13
NO EXISTE
65
A-02 5
50%
NO EXISTE
10
A-02 5
100%
25
NO EXISTE
125
A-02 5
50%
NO EXISTE
25
A-03 5
100%
EXISTE
10
A-03 5
100%
EXISTE
10
A-03 5
75%
EXISTE
A-03 5
25%
NO EXISTE
25
A-03 5
100%
EXISTE
15
A-03 5
100%
NO EXISTE
20
A-03 5
25%
NO EXISTE
20
A-03 5
25%
EXISTE
A-04 5
100%
EXISTE
10
A-04 5
100%
EXISTE
20
A-04 5
75%
EXISTE
16
A-04 5
Divulgacin de la Informacin
50%
NO EXISTE
40
A-04 5
Manipulacin de la Informacin.
100%
EXISTE
10
EDCOM
Pgina 42
ESPOL
Tesis de Grado
A-04 5
50%
NO EXISTE
25
A-04 5
50%
EXISTE
24
A-05 5
100%
10
NO EXISTE
30
A-05 5
100%
10
NO EXISTE
40
A-05 5
100%
NO EXISTE
20
A-05 5
25%
NO EXISTE
16
A-05 5
25%
NO EXISTE
A-05 5
25%
NO EXISTE
16
A-05 5
25%
NO EXISTE
16
A-06 5
100%
10
NO EXISTE
30
A-06 5
100%
15
NO EXISTE
45
A-06 5
100%
NO EXISTE
15
A-06 5
50%
13
NO EXISTE
65
A-06 5
50%
NO EXISTE
A-06 5
50%
13
NO EXISTE
26
A-06 5
50%
13
NO EXISTE
65
A-07 5
100%
10
NO EXISTE
50
A-07 5
100%
10
NO EXISTE
50
A-07 5
100%
NO EXISTE
25
A-07 5
50%
13
NO EXISTE
65
A-07 5
50%
13
NO EXISTE
65
A-07 5
50%
13
NO EXISTE
65
A-07 5
50%
13
NO EXISTE
65
E-01 5
Errores de Usuario
25%
EXISTE
E-01 5
Errores de Administrador
25%
EXISTE
E-01 5
Errores de Configuracin
50%
EXISTE
E-01 5
Escape de Informacin
25%
EXISTE
E-01 5
Vulnerabilidad de los Programas
50%
EXISTE
E-01 5
Cada Del Sistema
50%
EXISTE
E-01 5
Error en Act. de Programas
100%
EXISTE
E-01 5
100%
EXISTE
10
E-01 5
Suplantac. de Ident. de Usuario
50%
EXISTE
E-01 5
Abuso de Privilegios de Acceso
75%
EXISTE
12
E-01 5
Uso no Previsto
50%
EXISTE
12
E-01 5
Difusin de Software daino
100%
EXISTE
10
E-01 5
25%
EXISTE
EDCOM
Pgina 43
ESPOL
Tesis de Grado
E-01 5
50%
EXISTE
15
E-01 5
Manipulacin de Programas
75%
EXISTE
E-01 5
Indisponibilidad del personal
75%
EXISTE
S-01 4
Abuso de Privilegios de Acceso
50%
NO EXISTE
20
S-01 4
Uso Indebido
50%
10
NO EXISTE
50
S-01 4
50%
NO EXISTE
S-01 4
50%
NO EXISTE
S-01 4
Robo
100%
NO EXISTE
D-01 5
Deficiencias en la organizacin
100%
15
NO EXISTE
45
D-01 5
50%
NO EXISTE
D-01 5
Extorsin
100%
NO EXISTE
20
D-02 5
100%
15
NO EXISTE
45
D-02 5
50%
NO EXISTE
D-02 5
Extorsin
100%
NO EXISTE
20
D-02 5
Segregacin responsabilidades
100%
20
NO EXISTE
80
H-01 5
Uso no Previsto
50%
10
NO EXISTE
50
H-01 5
75%
15
NO EXISTE
75
Tabla 1.8 Anlisis de Riesgo
EDCOM
Pgina 44
ESPOL
Tesis de Grado
3.6.1
Nivel de riesgos
La metodologa nos indica que existen riesgos que son asumibles por la empresa,
riesgos de nivel bajo, riesgos de nivel medio y riesgos de alto nivel. A estos 2 ltimos
sern a los que le plantearemos controles para poder reducirlos a un nivel bajo, o
asumible en mejor de los casos.
Para esto existe una tabla de ponderaciones:
NIVEL
ALTO
MEDIO
BAJO
ASUMIDO
ESCALA
61-125
36-60
24-35
0-23
Tabla 1.9 Escala de los ponderaciones de

riesgos
Resumen
Dada la tabla de ponderacin de los valores segn la escala establecida, extraemos el
siguiente resumen de todas las amenazas que hemos encontrado en el funcionamiento de
las etapas de nuestro alcance.
GRADO DE RIESGO
AMENAZAS
Rojos
10
Amarillo
Verdes
Gris
53
Tabla 1.10 Riesgos encontrados en el

Organismo
EDCOM
Pgina 45
ESPOL
Tesis de Grado
50%
A-02
Base de datos propia empleados
100%
A-04
Registro del IESS
50%
A-05
Registro de inventario asignado
100%
A-06
100%
A-06
50%
A-06
Interceptacin de informacin
50%
A-07
Alteracin de la informacin
A-07
A-07
A-07
A-07
A-07
S-01
ACTIVO
AMENAZA
VAL. DE LA
GESTIN
Base de datos propia empleados
NPR ACTUAL
NIVEL DE RIESGO
DEGRADAC.
A-02
CDIGO
VALOR
PROB. DE FALLA
3.7 TRATAMIENTO DE RIESGO
CONTROL ACTUAL
13
TRATAMIENTO DE RIESGO
NO EXISTE
65
Mitigar
NO EXISTE
125
Mitigar
NO EXISTE
40
Mitigar
10
NO EXISTE
40
Eliminar
15
NO EXISTE
45
Eliminar
13
NO EXISTE
65
Mitigar
13
NO EXISTE
65
Mitigar
100%
10
NO EXISTE
50
Eliminar
100%
10
NO EXISTE
50
Mitigar
50%
13
NO EXISTE
65
Mitigar
50%
13
NO EXISTE
65
Eliminar
50%
13
NO EXISTE
65
Eliminar
Interceptacin de informacin
50%
13
NO EXISTE
65
Mitigar
Punto de acceso(CPU)
Uso no Previsto
50%
10
NO EXISTE
50
Mitigar
D-01
Director general
100%
15
NO EXISTE
45
Mitigar
D-02
Jefes de reas administrativas
100%
15
NO EXISTE
45
Mitigar
25
D-02
Jefes de reas administrativas
Segregacin de responsabilidad
100%
20
NO EXISTE
80
Eliminar
H-01
reas restringidas
75%
15
NO EXISTE
75
Mitigar
H-01
reas restringidas
Uso no Previsto
50%
10
NO EXISTE
50
Mitigar
EDCOM
Pgina 46
ESPOL
Tabla 1.11 Tratamiento de Riesgo
Tesis de Grado
OC: Obligaciones Contractuales-; RN/ABP: Requisitos de Negocio/Adopcin de Buenas Prcticas-; RER: Resultados de Evaluacin
de Riesgo
Controles Seleccionados y su
Controles ISO 27001:2005
Clusula
Control
Control
Justificacin
Excluido
Actual
RL
OC
Comentario
RN/ABP RER
Objetivo de control
8.3 Finalizacin/cambio del puesto
Todo cargo de alto nivel deber tener
SEGURIDAD
8.3.1 Cese de responsabilidades
sus funciones y responsabilidades

documentadas y con un backup para
EN
RECURSOS
la continuidad del servicio.

Todo cargo al que se le haya asignado
informacin, equipos o
8.3.2 Restitucin de activos
soportes de informacin, debern ser

registrados por escrito para su
EDCOM
Pgina 47
ESPOL
Tesis de Grado
devolucin.
A toda persona que quede desvinculada total o
parcialmente
HUMANOS
8.3.3 Cancelacin de permisos
de acceso
de las actividades de la organizacin,

se le debern bloquear o controlar
sus accesos.
3.8 DOCUMENTO DE APLICABILIDAD S O A
EDCOM
Pgina 48
ESPOL
Tabla 1.12 Documento de Aplicabilidad
CAPTULO 4
ETAPA DO
Tesis de Grado
4 ETAPA DO
4.1 NORMATIVAS DE CONTROLES DE PERSONAL
El personal que maneja el sistema de informacin, es uno de los elementos principales
en el anlisis de medidas de seguridad de la informacin, de su colaboracin depende en
buena medida el xito o fracaso de muchas de las medidas de seguridad a implantar.
Atendiendo al principio de que la cadena es tan fuerte como el ms dbil de sus
eslabones, en toda organizacin se cumple que el eslabn ms dbil es el personal.
Antes de establecer los controles especficos a cada una de las amenazas encontradas en
el sistema que ha venido funcionando en el Organismo, debemos poner en conocimiento
ciertos trminos que se vern reflejados en el planteamiento de los controles:
4.1.1
Definicin de Funciones y Responsabilidades
Una de las principales amenazas de toda organizacin es el acceso de usuarios no

autorizados (internos o externos) que puedan consultar, modificar, borrar e incluso robar
informacin a la que no deberan acceder. El usuario del sistema de informacin debe
ser informado de forma clara y precisa acerca de sus funciones y obligaciones en el
tratamiento de los datos.
4.1.1.1
Implantacin de Medidas
Se deben definir las funciones y responsabilidades de seguridad para cada uno de los
usuarios del sistema de informacin; para ello se aplicar el principio de establecer los
mnimos privilegios necesarios para el desarrollo de dichas labores.
Cada proceso de seguridad debe identificar a un propietario, un depositario y a los
usuarios que participarn en el mismo. De esta forma se evitarn malentendidos acerca
de las responsabilidades sobre los elementos del sistema de informacin.
Todas las funciones y responsabilidades deben comunicarse a los usuarios involucrados
en su ejecucin, de una forma clara y asegurando su recepcin y entendimiento. Se
prestar especial atencin al tratamiento de datos de carcter personal.
Las funciones y obligaciones de cada una de las personas con acceso a los datos
de carcter personal y a los sistemas de informacin estarn claramente
definidas y documentadas.
Las funciones de seguridad y las responsabilidades de los empleados,
contratistas y usuarios terceros, deben estar definidas y documentadas conforme
a la poltica de seguridad de la informacin de la organizacin. (Punto 8.1.1
ISO17799:2005)
EDCOM
Pgina 50
ESPOL
Tesis de Grado
4.1.2
Clusulas de Confidencialidad
Adems de la informacin de qu datos tratar y de qu forma, todo usuario debe recibir

informacin acerca de la obligacin de mantener secreto profesional sobre los datos que
conozca en el desarrollo de sus funciones, an despus de finalizar la relacin laboral
que le une a la organizacin.
El usuario debe firmar un acuerdo de confidencialidad, en el que se informe de sus
funciones y obligaciones respecto a la informacin de la organizacin.
4.1.2.1
Se deben definir exigencias de confidencialidad y no divulgacin de datos para todo el

personal que dispone de acceso al sistema de informacin para el desarrollo de sus
funciones, tanto para el personal contratado como para el personal externo. Estas
exigencias se definirn formalmente en acuerdos de confidencialidad, que todo el
personal deber firmar como prueba de su recepcin.
4.1.2.2
Normativa
La confidencialidad del personal con acceso a datos est regulada, tanto en la Ley de
Proteccin de datos como en la norma ISO 17799.
4.1.3
Concienciacin y educacin sobre normas de seguridad
Para que los usuarios puedan colaborar con la gestin de la seguridad, se les debe
concienciar e informar a fin de que cumplan con las medidas establecidas por la
organizacin en el desempeo habitual de sus funciones.
Es preciso instruir al personal de forma apropiada sobre seguridad y el uso correcto de
los sistemas de informacin y sus recursos, as como sobre la importancia de la
seguridad en el tratamiento de los datos en la organizacin.
4.1.3.1
Se debe formar a todo el personal de la empresa que vaya a tratar datos del sistema de
informacin sobre las normas de utilizacin y medidas de seguridad que debe
contemplar dicho tratamiento. Conseguir que todo usuario conozca las instrucciones
para tratar los recursos, la respuesta ante incidencias de seguridad y el mantenimiento de
los recursos, es una forma de disminuir los errores de tratamiento y los malos usos de
los recursos del sistema de informacin.
4.1.3.2
Normativa
La regulacin sobre la formacin y concienciacin del personal con acceso a datos est
regulada, tanto en la Ley de Proteccin de datos como en la ISO 17799, en los
siguientes puntos:
EDCOM
Pgina 51
ESPOL
Tesis de Grado
4.1.4
La organizacin deber identificar y revisar las necesidades de confidencialidad

y recogerlas en acuerdos de no divulgacin. (Punto 6.1.5 ISO17799:2005)
Responsabilidad en el uso de contraseas
En la actualidad, la mayora de los sistemas de informacin utilizan sistemas de

autenticacin de usuarios basados en contraseas, limitando el acceso a los recursos del
sistema segn el perfil de trabajo al que pertenece el usuario.
Diariamente se recibe informacin sobre amenazas, como suplantacin de identidad de
los usuarios, acceso no autorizado a los sistemas de informacin, acceso no autorizado a
datos, etc., que forman parte de la realidad cotidiana en las empresas.
La principal estrategia para que los usuarios utilicen sus contraseas en el sistema de
forma segura, es formarlos sobre su correcto uso.
4.1.4.1
Implantacin de medidas
La entrega de las credenciales al usuario (nombre de usuario y contrasea) debe
realizarse por algn procedimiento que obligue al usuario a cambiar la contrasea en el
siguiente inicio de sesin, lo que garantiza que solamente l conoce la contrasea.
Se debe formar a los usuarios en la seleccin y empleo de sus contraseas, para
garantizar que las mismas tienen una calidad mnima frente a intentos de acceso. Se
debe concienciar a los usuarios de la confidencialidad de la contrasea, y de que la
revelacin de la misma supone una suplantacin de su identidad digital, que puede tener
repercusiones disciplinarias y legales.
4.1.4.2
Normativa
Las medidas sobre la responsabilidad de los usuarios en el uso de sus contraseas estn
reguladas, tanto en la Ley de Proteccin de datos como en la ISO 17799, en los
siguientes puntos:
Se debe requerir a los usuarios buenas prcticas de seguridad en la seleccin y

empleo de sus contraseas. (Punto 11.3.1 ISO 17799:2005)
Las contraseas se cambiarn con la periodicidad que se determine en el

documento de seguridad y mientras estn vigentes se almacenarn de forma
ininteligible. (Artculo 11.3 RMS)
Se limitar la posibilidad de intentar reiteradamente el acceso no autorizado al

sistema de informacin. (Artculo 18.2 RMS)
La asignacin de contraseas debera ser controlada por un proceso de direccin

formal. (Punto 11.2.3 ISO17799:2005)
Todos los usuarios deberan tener un identificador nico para su empleo personal
y una tcnica conveniente de autenticacin debera ser escogida para justificar la
seguridad de identificacin de los usuarios. (Punto 11.5.2 ISO17799:2005)
EDCOM
Pgina 52
ESPOL
Tesis de Grado
4.2 PROCEDIMIENTO
En esta etapa, se propondr los controles o polticas de seguridad que se establecern
en el Organismo, con el fin de corregir o mitigar aquellas amenazas que atacan
directamente a los activos de mayor importancia del Organismo.
Las Polticas de Seguridad que estn dentro de nuestro mbito, se plantean
conjuntamente con el procedimiento a seguir para poder llevarlas a cabo. Aquellas que
estn fuera de nuestro mbito solo se dejaran planteadas.
4.3 ACTIVO: A02 BASE DE DATOS PROPIA DE EMPLEADOS

4.3.1
Amenaza: Divulgacin de la informacin
Control 8.1.3 Trminos y condiciones del empleo

Recomendacin
La empresa debe establecer un acuerdo de confidencialidad al momento de firmar el
contrato laboral; en el mismo se debe manifestar la no divulgacin de toda
informacin personal en lo que a empleados se refiere y a la de nico inters y de
uso exclusivo del Organismo.
Poltica de seguridad
- Todo empleado que inicie su relacin laboral con el Organismo, firmar un
documento llamado de confidencialidad que ser entregado por RRHH en el
momento de la contratacin, el mismo que est obligado a cumplir en un periodo
de 3 meses despus de concluida dicha relacin.
Procedimiento
a. El Departamento legal, en conjunto con RRHH y la Direccin del Hospital
redactarn un documento de confidencialidad; en el que se obliga al empleado a
la no divulgacin, ni exposicin de toda informacin que incluya datos de uso
exclusivo del Organismo.
b. Este documento deber ser firmado por cada uno de los empleados en el
momento de la contratacin.
c. El documento de confidencialidad tendr vigencia de 3 meses adicionales una
vez concluida la relacin laboral Empleado-Organismo.
Control 8.3.1 Responsabilidades de terminacin
Poltica de Seguridad
- Una vez que el ex empleado cese sus funciones dentro de la Organizacin, est
obligado a cumplir con la no divulgacin de la informacin de uso exclusivo del
Organismo
Procedimiento
a. Cuando un empleado cese sus funciones o el empleado cambie de funciones
dentro de la organizacin, est obligado a cumplir con el acuerdo de
confidencialidad; es decir a la no divulgacin de la informacin durante un
periodo de 3 meses finalizado el contrato.
EDCOM
Pgina 53
ESPOL
Tesis de Grado
4.3.2
Amenaza: Acceso no autorizado
Control 8.3.3 Retiro de los derechos de acceso

- Cuando un empleado cambia su situacin laboral, el acceso que este tiene a la
informacin ser inhabilitado 24 horas antes de la entrega del documento de
accin de personal en el que se comunica el cese o cambio de sus funciones
dentro del Organismo; y 24 horas despus en caso de renuncia voluntaria sin
previo aviso.
-
Los derechos de acceso que deberan ser retirados o adaptados incluyen accesos
fsicos y lgicos, claves, tarjetas de identificacin, recursos de tratamiento de la
informacin, suscripciones, as como la retirada de cualquier documentacin que
les identifique como un miembro actual de la organizacin.
Procedimiento
a. En caso de renuncia voluntaria, despido forzado, del rea de RRHH emitir la
accin de personal (anexo II), en el que se especifica los motivos por el cual el
empleado es despedido o procede al cambio de sus funciones.
b. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a la informacin digital, se enviar una copia del documento al Centro de
Cmputo para la verificacin y posterior inhabilitacin de los accesos en caso de
los que tuviere del empleado.
c. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a las reas restringidas, el jefe inmediato comunicar la retirada de la
tarjeta de acceso o la anulacin del registro dactilar dependiendo de la
infraestructura instalada.
d. En caso de cambio de sus funciones, un asistente del centro de cmputo y el jefe
de la prxima rea del empleado, plantearn las modificaciones de los accesos
que necesitar para el desarrollo de las obligaciones establecidas.
Control: 9.1.3 Seguridad de oficinas, despachos e instalaciones
Recomendacin
Se recomienda que en el archivo de RRHH se instalen seguridades tales como
puertas de acceso controladas con tarjetas o con identificadores de huellas dactilares;
de esta forma poder proteger aquella rea donde se archivan cada una de las carpetas
con la vida laboral de cada uno de los empleados.
- El acceso a reas restringidas ser controlado mediante puertas con apertura de
lector dactilar.
- El rea de archivo de RRHH ser considerado como rea de acceso restringido
EDCOM
Pgina 54
ESPOL
Tesis de Grado
4.4 ACTIVO: A04 REGISTROS DEL IESS

4.4.1

Recomendacin
Procedimiento
Organismo
Procedimiento
Cuando un empleado cese sus funciones o el empleado cambie de funciones dentro
de la organizacin, est obligado a cumplir con el acuerdo de confidencialidad; es
decir a la no divulgacin de la informacin durante un periodo de 3 meses finalizado
el contrato.
EDCOM
Pgina 55
ESPOL
Tesis de Grado

previo aviso.
Procedimiento
a. En caso de cambio de sus funciones, un asistente del centro de cmputo y el jefe
4.5 ACTIVO: A-05 REGISTRO DE INVENTARIO ASIGNADO

4.5.1
Amenaza: Introduccin de informacin incorrecta
- El control de inventario de activos se realizar cada tres meses, en el cual cada
empleado deber confirmar los activos asignados al inicio de sus funciones.
Procedimiento
a. El jefe del rea de inventario planificar el control de activos presentando un
cronograma al Director general, proponiendo la fecha para el inicio del mismo;
cronograma que deber ser aprobado para la ejecucin del mismo.
b. Cada jefe de rea y persona con activo asignado, deber proporcionar toda
informacin sobre los activos a su cargo desde el inicio y de los que se les ha sido
entregado durante el periodo de desempeo de sus funciones.
c. Los formularios del control de inventario sern contrastados con los registros
actuales.
d. En caso de existir diferencia de informacin, se deber presentar los respaldos de
las asignaciones de inventario, los mismos que debern registrar las firmas del
empleado.
EDCOM
Pgina 56
ESPOL
Tesis de Grado
4.6 ACTIVO: A06 ARCHIVO VIDA LABORAL DE EMPLEADOS

4.6.1

Recomendacin
Procedimiento
Organismo
Procedimiento
el contrato.
EDCOM
Pgina 57
ESPOL
Tesis de Grado

previo aviso.
Procedimiento
b. Si el empleado que procede a la modificacin de su relacin laboral, pertenece a
alguna de las reas administrativas en las que se tiene acceso a la informacin
digital, se enviar una copia del documento al Centro de Cmputo para la
verificacin y posterior inhabilitacin de los accesos en caso de los que tuviere
del empleado.
c. En caso de cambio de sus funciones, un asistente del centro de cmputo y el jefe
4.6.2
Amenaza: Interceptacin de la Informacin

previo aviso.
- Los derechos de acceso que deberan ser retirados o adaptados incluyen accesos
Procedimiento
EDCOM
Pgina 58
ESPOL
Tesis de Grado

4.7 ACTIVO: A07 ARCHIVO DE PACIENTES

4.7.1
Amenaza: Divulgacin de la Informacin

Recomendacin
Procedimiento
Organismo
Procedimiento
a. Una vez que el ex empleado cese sus funciones o el empleado cambie de
funciones dentro de la organizacin, est obligado a cumplir con el acuerdo
de confidencialidad; es decir a la no divulgacin de la informacin durante
un periodo de 3 meses finalizado el contrato.
4.7.2
Amenaza: Manipulacin de la Informacin
Control 8.3.2 Devolucin de los activos

EDCOM
Pgina 59
ESPOL
Tesis de Grado
Todos los activos de las diferentes reas debern ser devueltos en perfecto
estado, ya sean estas a nivel mdico o administrativo.
Si existe algn activo que no pertenezca al Organismo este ser revisado para
verificar si tiene informacin relevante para la organizacin, si es as, esta ser
entregada al Organismo.
Procedimiento
a. Los empleados debern llenar un formulario de devolucin de activos entregado
por el departamento de inventario en el cual indicaran todos los activos que el
Organismo les entrego; a su vez indicaran los activos propios del empleado, que
utiliz en el Organismo durante su funcin.
b. Una vez declarados los activos estos sern entregados y revisados para ver su
buen estado, si el activo tiene algn dao se evaluar su reparacin o reposicin
del mismo.
c. Si el activo del empleado contiene informacin relevante para el Organismo esta
deber ser entregada y eliminada del activo del empleado.
d. Si todos los procesos anteriores se llevaron a cabo el empleado firmar el
formulario de devolucin de activos dejando constancia de dicho proceso.
previo aviso.
Procedimiento
c. Cmputo para la verificacin y posterior inhabilitacin de los accesos en caso de
d. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
e. En caso de cambio de sus funciones, un asistente del centro de cmputo y el jefe
EDCOM
Pgina 60
ESPOL
Tesis de Grado
4.7.3
Amenaza: Acceso no Autorizado
Control: 9.1.3 Seguridad de oficinas, despachos e instalaciones

Recomendacin
Se recomienda que en el departamento de Estadstica seguridades tales como
puertas de acceso controladas con tarjetas o con identificadores de huellas dactilares;
de esta forma poder proteger aquella rea donde se archivan cada una de las
carpetas con las historias clnicas de los pacientes.
Adems se debera controlar la retirada de las carpetas con las historias clnicas con
un periodo mximo, as de esta manera se obligar la devolucin de la misma
cuando expire su tiempo, comunicando al mdico a cargo su devolucin.
lector dactilar.
- El rea de Estadstica ser considerado como rea de acceso restringido.
informacin ser inhabilitado 24 horas antes de la entrega del documento de en
el que se comunica el cese o cambio de sus funciones dentro del Organismo; y
24 horas despus en caso de renuncia voluntaria sin previo aviso.
Procedimiento
EDCOM
Pgina 61
ESPOL
Tesis de Grado

4.7.4
Amenaza: Interceptacin de la Informacin

Recomendacin
Procedimiento
Organismo.
Procedimiento
el contrato.
EDCOM
Pgina 62
ESPOL
Tesis de Grado

previo aviso.
Procedimiento
4.7.5
Amenaza: Corrupcin de la Informacin
Control 8.3.2 Devolucin de los activos

- Todos los activos de las diferentes reas debern ser devueltos en perfecto estado,
ya sean estas a nivel mdico o administrativo.
- Si existe algn activo que no pertenezca al Organismo este ser revisado para
Procedimiento
a. Los empleados debern llenar un formulario de devolucin de activos
entregado por el departamento de inventario en el cual indicaran todos los
activos que el Organismo les entrego; a su vez indicaran los activos propios
del empleado, que utiliz en el Organismo durante su funcin.
b. Una vez declarados los activos estos sern entregados y revisados para ver su
buen estado, si el activo tiene algn dao se evaluar su reparacin o
reposicin del mismo.
c. Si el activo del empleado contiene informacin relevante para el Organismo
esta deber ser entregada y eliminada del activo del empleado.
d. Si todos los procesos anteriores se llevaron a cabo el empleado firmar el
formulario de devolucin de activos dejando constancia de dicho proceso.
EDCOM
Pgina 63
ESPOL
Tesis de Grado

previo aviso.
Procedimiento
4.8 ACTIVO: S01 PC

4.8.1
Amenaza: Uso indebido
Existen muchas razones para establecer un control estricto en lo que a redes sociales
se refiere, entre otro tenemos:
Fuga de datos: usualmente los usuarios de las redes sociales comparten ms

informacin de la necesaria ya sea de manera voluntaria o involuntaria.
Robo de informacin: las redes de sociales contienen gran cantidad de

informacin que est disponible libremente para millones de personas.
Implicaciones legales: es necesario estar al tanto de las implicaciones que puede

tener para su compaa la informacin publicada por sus empleados en las redes
sociales.
Malware: diversas aplicaciones de las redes sociales son punto de entrada de

diferentes tipos de malware (en especial para robar informacin confidencial).
Ingeniera Social: los usuarios de las redes sociales son altamente propensos a
ataques de ingeniera social. En especial empleados clave.
EDCOM
Pgina 64
ESPOL
Tesis de Grado
- Queda prohibido el acceso a redes sociales, redes comerciales, en general al
acceso a direcciones electrnicas y sitios que se consideran innecesarios para
cuestiones laborales de cada uno de los puestos del organismo.
Procedimiento
El centro de cmputo ser el encargado de implementar las medidas necesarias para
la puesta en marcha de esta poltica de seguridad.
4.9 ACTIVO: D01 DIRECTOR GENERAL

4.9.1
Amenaza: Deficiencia en la organizacin
Cada vez ms necesario que las empresas implanten programas de adiestramiento

que a travs de estos les permita a sus empleados satisfacer sus objetivos personales,
laborales y de esta manera el organismo cuente con un personal altamente calificado,
a travs del aumento de la productividad, la planificacin de carrera y la calidad de
vida de los empleados.
Control 8.1.1 Roles y responsabilidades
- Se establece la obligacin de documentar las responsabilidades y funciones de los
empleados, contratistas y terceros en concordancia con la poltica de seguridad de
la informacin de la organizacin, estableciendo por escrito, de alguna forma las
obligaciones del puesto con el Organismo.
Procedimiento
a. El departamento de RRHH ser el encargado de realizar un manual de funciones
y servicios, donde se especifique por escrito el desempeo del puesto a cubrir,
pudiendo as el organismo en el momento del cese laboral, reclamar y ejercer el
derecho de cumplimiento de dichas funciones y la fiscalizacin de lo ejercido
por el empleado.
b. El empleado recibir la documentacin de cada una de sus funciones al inicio de
su relacin laboral, dejando constancia de recibido.
4.10 ACTIVO: D02 JEFES DE REA

4.10.1 Amenaza: Deficiencia de la organizacin
Que las empresas implanten programas de adiestramiento sera una buena inversin
ya que a travs de estos les permite a sus empleados satisfacer sus objetivos
personales, laborales; el organismo podr contar as con un personal altamente
calificado.
Control 8.1.1 Roles y responsabilidades
EDCOM
Pgina 65
ESPOL
Tesis de Grado
- Se establece la obligacin de documentar las responsabilidades y funciones de los
empleados, contratistas y terceros en concordancia con la poltica de seguridad de
la informacin de la organizacin, estableciendo por escrito, de alguna forma, las
obligaciones del empleado con el puesto y con el Organismo.
Procedimiento
a. El departamento de RRHH ser el encargado de realizar un manual de funciones
y servicios, donde se especifique por escrito el desempeo del puesto a cubrir,
pudiendo as el organismo en el momento del cese laboral, reclamar y ejercer el
derecho del cumplimiento de dichas funciones y la fiscalizacin de lo ejercido
por el empleado.
b. El empleado recibir la documentacin de cada una de sus funciones al inicio de
su relacin laboral, dejando constancia de recibido.
4.11 ACTIVO: H01 REAS RESTRINGIDAS

4.11.1 Amenaza: Uso no previsto
Control: 9.1.2 Controles de acceso fsico
Recomendacin
Se implementar en las reas restringidas, la adecuada proteccin del acceso fsico
del personal; para asegurar as solamente el acceso autorizado.
lector dactilar o con tarjetas de acceso.
4.11.2 Amenaza: Acceso no autorizado
Control: 9.1.2 Controles de acceso fsico
Recomendacin
Se implementar en las reas restringidas, la adecuada proteccin del acceso fsico
del personal; para asegurar as solamente el acceso autorizado.
lector dactilar o con tarjetas de acceso
EDCOM
Pgina 66
ESPOL
CAPTULO 5
CONCLUSIONES Y
RECOMENDACIONES
Tesis de Grado
5 CONCLUSIONES Y RECOMENDACIONES
En el desarrollo del presente captulo se exponen las conclusiones y las
recomendaciones de la tesis de grado, realizados sobre la base de los objetivos que tiene
el presente trabajo, tales como: Realizar los debidos procedimientos desde la
contratacin hasta el despido o cese de funciones del empleado.
Entre las conclusiones que pudimos observar se encuentran las siguientes:
El hospital cuenta con una aplicacin que est conectado con el IESS (Instituto
Ecuatoriano de Seguridad Social) y el Ministerio de Finanzas el cual posee
algunas fallas entre las cuales est que las ventanas de la aplicacin muchas
veces se bloquean o son imposibles de acceder.
Existe otra aplicacin la cual permite el control de asistencia de los empleados.

Est en proyecto la conexin directa de esta aplicacin con el Ministerio de
Relaciones Laborales.
Trabajan bajo las normativas de la LOSEP (Ley Orgnica del Servicio Pblico).
Cada movimiento, proceso o toma de decisin se basa en la LOSEP
Los trabajadores se dividen en dos grupos: Los amparados bajos la LOSEP

como (mdicos, enfermeras) y los trabajadores amparados por el cdigo del
trabajo tales como: (choferes, electricistas, cocineros).
Entre los procesos de movimiento del personal estn los siguientes:

1.- Reclutamiento o seleccin.
2.- Clasificacin de puestos.
3.- Sistema de evaluacin o desempeo
4.- Capacitacin.
5.- Planificacin
6.- Evaluacin de desempeo.
1.- Reclutamiento o seleccin.
Existen dos vas:
a.- norma tcnica de seleccin y concursos
b.- instructivo para llenar vacantes
1.1 Orden
El Director (Responsable directo) llama a concurso.
El Jefe de recursos humanos es notificado por el Director y llama a concurso y
Determina las personas responsable para la seleccin del personal.
EDCOM
ESPOL
Pgina 68
Tesis de Grado
1.2 Tribunal
Dependiendo lo que ordene el reglamento los concursos sern abiertos (pueden
acceder cualquier ciudadano que cumpla los requisitos; o cerrados (solo personal
del hospital).
El tribunal est conformado por: El Responsable de direccin del hospital,
responsable de RRHH, responsable del organismo sindical y el responsable del
rea de necesidad. Las calificaciones dependen de un examen terico y de la
entrevista personal.
2.- Clasificacin o actualizacin del personal.
Analistas de Quito 1 vez al ao actualizan cada uno de los puestos cubiertos en
el hospital, ya sea por que el empleado ha recibido mayor formacin o por que
este a nivel de experiencia pueda desenvolver un puesto con mayor
responsabilidad, de esta forma pueda ascender a otro nivel y aumentar as su
remuneracin mensual.Para esto los analistas se basan en una tabla de
clasificacin de puestos y adems cada accin ser acatada bajo alguna norma
tcnica.
3.- Evaluacin por desempeo.
Existen grados de evaluacin para cada personal; estos van desde (excelente,
hasta malo), esto sirve para poder realizar movimientos en el personal ya sea por
(baja, ascenso, capacitacin, etc.).Estas evaluaciones estn a cargo del jefe de
RRHH y del jefe inmediato del rea al que pertenece el empleado.
4.-Capacitacin
Las capacitaciones son programadas anualmente; al ser dependientes del estado
poco es el presupuesto destinado a los mismos, por eso se solventan en base de
las multas establecidas para cada sancin del personal, en las aportaciones del
Ministerio, y en los diferentes acuerdos entre las empresas capacitadoras que
colaboran con el hospital.
5.- Planificacin
Esta norma tiene como finalidad la creacin de puestos y la anulacin de los
mismos. Las bajas o despidos estn clasificadas en:
Renuncias.
Muerte.
Jubilacin obligada (mayores de 65 aos).
Jubilacin voluntaria.
Destitucin por sumario administrativo.
Destitucin por sancin.
Supresin de puestos mediante accin de personal y posterior bonificacin.
EDCOM
ESPOL
Pgina 69
Tesis de Grado
El departamento est bajo auditoras peridicas y cada movimiento o

modificacin se realiza bajo la firma del jefe de personal.
Entre las recomendaciones que pudimos observar se encuentran las siguientes:
La empresa debe establecer un acuerdo de confidencialidad al momento de firmar

el contrato laboral; en el mismo se debe manifestar la no divulgacin de toda
Se recomienda que en el archivo de RRHH se instalen seguridades tales como

puertas de acceso controladas con tarjetas o con identificadores de huellas
dactilares; de esta forma poder proteger aquella rea donde se archivan cada una
de las carpetas con la vida laboral de cada uno de los empleados.
Se recomienda que en el departamento de Estadstica seguridades tales como

puertas de acceso controladas con tarjetas o con identificadores de huellas
dactilares; de esta forma poder proteger aquella rea donde se archivan cada una
de las carpetas con las historias clnicas de los pacientes.
Adems se debera controlar la retirada de las carpetas con las historias clnicas
con un periodo mximo, as de esta manera se obligar la devolucin de la misma
cuando expire su tiempo, comunicando al mdico a cargo su devolucin.
Se implementar en las reas restringidas, la adecuada proteccin del acceso

fsico del personal; para asegurar as solamente el acceso autorizado.
EDCOM
ESPOL
Pgina 70
CAPTULO 6
ANEXOS
Tesis de Grado
6 ANEXOS
6.1 ANEXO I
6.1.1
Hoja de Inventario
EDCOM
Pgina 72
ESPOL
Tesis de Grado
EDCOM
Pgina 73
ESPOL
Tesis de Grado
6.2 ANEXO II
6.2.1
Dominios del Sistema de Gestin de Seguridad de la Informacin:
Cada uno de los dominios conforma un captulo de la norma y se centra en un

determinado aspecto de la seguridad de la informacin. En el siguiente dibujo se
muestra la distribucin de dichos dominios y el aspecto de seguridad que cubren:
Distribucin de los dominios de la Norma ISO 27002
EDCOM
ESPOL
Pgina 74
Tesis de Grado
6.3 ANEXO III

6.3.1
ACCIN DE PERSONAL
EDCOM
ESPOL
Pgina 75
Tesis de Grado
6.4 ANEXO IV
6.4.1
POLTICAS DE SEGURIDAD
Las siguientes polticas de seguridad debern ser implantadas para disminuir el nivel de
riesgo que generan las amenazas encontradas. La aplicacin de las mismas son
necesarias para la certificacin de la ISO 27001.
Art 01
- Se documentar las responsabilidades y funciones de los empleados, contratistas y
terceros en concordancia con la poltica de seguridad de la informacin de la
organizacin, estableciendo por escrito, de alguna forma, las obligaciones del
empleado con el puesto y con el Organismo.
Art 02
Art 03
Organismo
Art 04
- Todos los activos de las diferentes reas debern ser devueltos en perfecto estado,
ya sean estas a nivel mdico o administrativo.
- Si existe algn activo que no pertenezca al Organismo este ser revisado para
Art 05
informacin ser inhabilitado 24 horas antes de la entrega del documento de accin
de personal en el que se comunica el cese o cambio de sus funciones dentro del
Organismo; y 24 horas despus en caso de renuncia voluntaria sin previo aviso.
EDCOM
ESPOL
Pgina 76
Tesis de Grado
Art 06
lector dactilar o con tarjetas de acceso.
- El rea de Estadstica ser considerado como rea de acceso restringido.
Art 07
- Queda prohibido el acceso a redes sociales, redes comerciales, en general al acceso
a direcciones electrnicas y sitios que se consideran innecesarios para cuestiones
laborales de cada uno de los puestos del organismo.
Art 08
empleado deber confirmar los activos asignados al inicio de sus funciones
Art 09
empleado deber confirmar los activos asignados al inicio de sus funciones.
EDCOM
ESPOL
Pgina 77
Tesis de Grado
6.5 ANEXO V
6.5.1
6.5.1.1
Marco de referencia
Qu es seguridad de la informacin?
El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central

sobre el que se construye ISO 27001.
La gestin de la seguridad de la informacin debe realizarse mediante un proceso
sistemtico, documentado y conocido por toda la organizacin y que podra
considerarse como el sistema de calidad para la seguridad de la informacin.
Prometer o garantizar un nivel de proteccin al 100% en todas las reas es virtualmente
imposible, incluso en el caso de que podamos disponer de un presupuesto ilimitado. El
propsito de un sistema de gestin de la seguridad de la informacin es, por tanto,
garantizar que los riesgos de la seguridad de la informacin sean conocidos, asumidos,
gestionados y minimizados por la organizacin de una forma documentada, sistemtica,
estructurada, repetible, eficiente y adaptada a cualquier cambio que se produzca, ya sean
estos en los riesgos, el entorno y las tecnologas.
6.5.2
Qu es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la Seguridad

de la Informacin. ISMS es el concepto equivalente en idioma ingls, siglas de
Information Security Management System.
Un SGSI es un Sistema que consiste de una serie de actividades de gestin que deben
realizarse mediante procesos sistemticos, documentados y conocidos por una
organizacin o entidad.
En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de datos
organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en imgenes,
oral, impresa en papel, almacenada electrnicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia
organizacin o de fuentes externas) o de la fecha de elaboracin.
El propsito de un sistema de gestin de la seguridad de la informacin no es garantizar
la seguridad que nunca podr ser absoluta- sino garantizar que los riesgos de la
seguridad de la informacin son conocidos, asumidos, gestionados y minimizados por la
organizacin de una forma documentada, sistemtica, estructurada, continua, repetible,
eficiente y adaptada a los cambios que se produzcan en la organizacin, los riesgos, el
entorno y las tecnologas.
EDCOM
ESPOL
Pgina 78
Tesis de Grado
El SGSI protege los activos de informacin de una organizacin, independientemente

del medio en que se encuentren; p. ej., correos electrnicos, informes, escritos
relevantes, pginas web, imgenes, documentos, hojas de clculo, faxes, presentaciones,
contratos, registros de clientes, informacin confidencial de trabajadores y
colaboradores, entre otros.
La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su
confidencialidad, integridad, disponibilidad y legalidad, as como de los sistemas
implicados en su tratamiento, dentro de una organizacin. As pues, estos cuatro
trminos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de
la informacin:
Fig. F.12 SGSI Principios bsicos.
Integridad: Mantener la exactitud y completitud de la informacin y sus mtodos

de proceso.
Privacidad: La informacin no se pone a disposicin ni se revela a individuos,

entidades o procesos no autorizados.
Disponibilidad: El acceso y la utilizacin de la informacin y los sistemas de

tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
Legalidad: La informacin debe de cumplir con las leyes vigentes dependiendo del
lugar donde se encuentran y son manejadas.
EDCOM
ESPOL
Pgina 79
Tesis de Grado
Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe

hacer uso de un proceso sistemtico, documentado y conocido por toda la organizacin,
desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.
6.5.3
Para qu sirve un SGSI?
La informacin, junto a los procesos y sistemas que hacen uso de ella, son activos muy
importantes de una organizacin. La confidencialidad, integridad y disponibilidad de
informacin sensible pueden llegar a ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para
lograr los objetivos de la organizacin y asegurar beneficios econmicos.
Las organizaciones y por consecuente su informacin, estn expuestos cada vez ms a
un nmero elevado de amenazas que aprovechan cualquiera de las vulnerabilidades
existentes para someter a activos crticos de informacin, a diversas formas de fraude,
espionaje, sabotaje o vandalismo. Los virus informticos, el hacking o los ataques de
denegacin de servicio son algunos ejemplos comunes y conocidos, pero tambin se
deben considerar los riesgos de sufrir incidentes de seguridad causados desde dentro de
la propia organizacin ya sean estos voluntaria o involuntariamente, o aquellos
provocados accidentalmente por catstrofes naturales y fallos tcnicos los cuales son
difciles de prevenir y de manejar.
Cumplir con las leyes establecidas, poder adaptarse de forma dinmica y puntual a las
condiciones variables del entorno, proteger adecuadamente los objetivos de negocio
para asegurar el mximo beneficio o el aprovechamiento de nuevas oportunidades de
negocio, son algunos de los aspectos fundamentales en los que un SGSI es una
herramienta de gran utilidad y de importante ayuda para la gestin de las
organizaciones.
El nivel de seguridad alcanzado por medios tcnicos es limitado e insuficiente por s
mismo. En la gestin efectiva de la seguridad debe tomar parte activa toda la
organizacin, con la gerencia al frente, tomando en consideracin tambin a clientes y
proveedores de bienes y servicios.
El modelo de gestin de la seguridad debe contemplar unos procedimientos adecuados
y la planificacin e implantacin de controles de seguridad basados en una evaluacin
de riesgos y en una medicin de la eficacia de los mismos.
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer
estas polticas y procedimientos en relacin a los objetivos de negocio de la
organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de
riesgo que la propia organizacin ha decidido asumir.
Con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin
y los asume, minimiza, transfiere o controla mediante una sistemtica definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
EDCOM
ESPOL
Pgina 80
Tesis de Grado
6.5.4
ISO (International Organization for Standardization)
La ISO es una federacin internacional con sede en Ginebra (Suiza) de los institutos de
normalizacin de 157 pases (uno por cada pas). Es una organizacin no gubernamental
(sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los
institutos de normalizacin nacionales es diferente en cada pas (entidad pblica,
privada).
La ISO desarrolla estndares requeridos por el mercado que representan un consenso de
sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios,
consumidores) acerca de productos, tecnologas, sistemas y mtodos de gestin, entre
otros.
Estos estndares, por naturaleza, son de aplicacin voluntaria, ya que el carcter no
gubernamental de ISO no le da autoridad legal para forzar su implantacin. Slo en
aquellos casos en los que un pas ha decidido adoptar un determinado estndar como
parte de su legislacin, puede convertirse en obligatorio.
La ISO garantiza un marco de amplia aceptacin mundial a travs de sus 3.000 grupos
tcnicos y ms de 50.000 expertos que colaboran en el desarrollo de estndares.
6.5.4.1
ISO 27000
La informacin es un activo vital para el xito y la continuidad en el mercado de

cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la
procesan es, por tanto, un objetivo de primer nivel para la organizacin.
Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un
sistema que aborde esta tarea de una forma metdica, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin.
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad
de la informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se
indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la
informacin (SGSI) basado en ISO 27001.
6.5.4.1.1 Origen
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British
Standards Institution, la organizacin britnica equivalente a AENOR en Espaa) es
responsable de la publicacin de importantes normas como:
EDCOM
ESPOL
Pgina 81
Tesis de Grado
1979 Publicacin BS 5750 - ahora ISO 9001

1992 Publicacin BS 7750 - ahora ISO 14001
1996 Publicacin BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar
a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de
la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que
no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada
por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la
informacin (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt
por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas
de gestin.
En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public
por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta
ltima norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el
contenido as como el ao de publicacin formal de la revisin.
En Marzo de 2006, posteriormente a la publicacin de la ISO27001:2005, BSI public
la BS7799-3:2006, centrada en la gestin del riesgo de los sistemas de informacin.
En la seccin de Artculos y Podcasts encontrar un archivo grfico y sonoro con la
historia de ISO 27001 e ISO 17799.
6.5.4.1.2 La serie 27000
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los
rangos de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
ISO 27000:
En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008.
Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin
de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas
interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea
gratuita, a diferencia de las dems de la serie, que tendrn un coste.
ISO 27001:
Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los
requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la
EDCOM
ESPOL
Pgina 82
Tesis de Grado
BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos

los SGSI de las organizaciones.
Sustituye a la BS 7799-2, habindose establecido unas condiciones de transicin para

aquellas empresas certificadas en esta ltima. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva
numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean
seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser
obligatoria la implementacin de todos los controles enumerados en dicho anexo, la
organizacin deber argumentar slidamente la no aplicabilidad de los controles no
implementados. Desde el 28 de Noviembre de 2007, esta norma est publicada en
Espaa como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR.
Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia,
Venezuela y Argentina. El original en ingls y la traduccin al francs pueden adquirirse
en ISO.org.
ISO 27002:
Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo
2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos
de control y controles recomendables en cuanto a seguridad de la informacin. No es
certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11
dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001
contiene un anexo que resume los controles de ISO 27002:2005. En Espaa, an no est
traducida (previsiblemente, a lo largo de 2008). Desde 2006, s est traducida en
Colombia (como ISO 17799) y, desde 2007, en Per (como ISO 17799; descarga
gratuita). El original en ingls y su traduccin al francs pueden adquirirse en ISO.org.
ISO 27003:
En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2009. Consistir en
una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y
de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma
BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con
recomendaciones y guas de implantacin.
ISO 27004:
En fase de desarrollo; su fecha prevista de publicacin es Noviembre de 2008.
Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficacia
de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente
para la medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo
PDCA.
ISO 27005:
Publicada el 4 de Junio de 2008. Establece las directrices para la gestin del riesgo en
la seguridad de la informacin. Apoya los conceptos generales especificados en la
norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la
seguridad de la informacin basada en un enfoque de gestin de riesgos. El
conocimiento de los conceptos, modelos, procesos y trminos descritos en la norma
EDCOM
ESPOL
Pgina 83
Tesis de Grado
ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la

norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por
ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de
lucro) que tienen la intencin de gestionar los riesgos que puedan comprometer la
organizacin de la seguridad de la informacin. Su publicacin revisa y retira las
normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000.
En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en
ISO.org.
ISO 27006:
Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditacin de
entidades de auditora y certificacin de sistemas de gestin de seguridad de la
informacin.
Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que
operan certificacin/registro de SGSI) que aade a ISO/IEC 17021 (Requisitos para las
entidades de auditora y certificacin de sistemas de gestin) los requisitos especfico
relacionados con ISO 27001 y los SGSI. Es decir, ayuda a interpretar los criterios de
acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO
27001, pero no es una norma de acreditacin por s misma. En Espaa, esta norma an
no est traducida. El original en ingls puede adquirirse en ISO.org.
ISO 27007:
una gua de auditora de un SGSI.
ISO 27011:
En fase de desarrollo; su fecha prevista de publicacin es Enero de 2008. Consistir en
una gua de gestin de seguridad de la informacin especfica para telecomunicaciones,
elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones).
ISO 27031:
una gua de continuidad de negocio en cuanto a tecnologas de la informacin y
comunicaciones.
ISO 27032:
En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir
en una gua relativa a la ciberseguridad.
ISO 27033:
En fase de desarrollo; su fecha prevista de publicacin es entre 2010 y 2011. Es una
norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad
de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre
redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes
EDCOM
ESPOL
Pgina 84
Tesis de Grado
mediante VPNs y diseo e implementacin de seguridad en redes. Provendr de la

revisin, ampliacin y re-numeracin de ISO 18028.
ISO 27034:
En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir
en una gua de seguridad en aplicaciones.
ISO 27799:
Publicada el 12 de Junio de 2008. Es un estndar de gestin de seguridad de la
informacin en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma,
al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit
tcnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretacin y
aplicacin en la salud informtica de la norma ISO / IEC 27002 y es un complemento de
esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices
de buenas prcticas para la gestin de la salud y la seguridad de la informacin por
organizaciones sanitarias y otros custodios de la informacin sanitaria en base a
garantizar un mnimo nivel necesario de seguridad apropiado para la organizacin y
circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de
informacin personal de salud. ISO 27799:2008 se aplica a la informacin en salud en
todos sus aspectos y en cualquiera de sus formas, toma la informacin (palabras y
nmeros, grabaciones sonoras, dibujos, vdeos e imgenes mdicas), sea cual fuere el
medio utilizado para almacenar (de impresin o de escritura en papel o electrnicos de
almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax,
por redes informticas o por correo), ya que la informacin siempre debe estar
adecuadamente protegida. El original en ingls o francs puede adquirirse en ISO.org.
6.5.5
Metodologa ISO27001
Es un estndar ISO que proporciona un modelo para establecer, implementar, utilizar,

monitorizar, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la
Informacin (SGSI). Se basa en el ciclo de vida PDCA (Planear-Hacer-Verificar-Actuar;
o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestin
(ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.).
De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI,
incluyendo una identificacin clara de las dependencias, relaciones y lmites que
existen entre el alcance y aquellas partes que no hayan sido consideradas (en
aquellos casos en los que el mbito de influencia del SGS considere un subconjunto
de la organizacin como delegaciones, divisiones, reas, procesos, sistemas o tareas
concretas).
Poltica y objetivos de seguridad: documento de contenido genrico que establece
el compromiso de la direccin y el enfoque de la organizacin en la gestin de la
EDCOM
ESPOL
Pgina 85
Tesis de Grado
Procedimientos y mecanismos de control que soportan al SGSI: aquellos

procedimientos que regulan el propio funcionamiento del SGSI. Documentacin
necesaria para asegurar la planificacin, operacin y control de los procesos de
seguridad de la informacin, as como para la medida de la eficacia de los controles
implantados -Mtricas.
Enfoque de evaluacin de riesgos: descripcin de la metodologa a emplear (cmo

se realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de
ocurrencia e impactos en relacin a los activos de informacin contenidos dentro
del alcance seleccionado), desarrollo de criterios de aceptacin de riesgo y fijacin
de niveles de riesgo aceptables .
Informe de evaluacin de riesgos: estudio resultante de aplicar la metodologa de
evaluacin anteriormente mencionada a los activos de informacin de la
organizacin.
Plan de tratamiento de riesgos: documento que identifica las acciones de la
direccin, los recursos, las responsabilidades y las prioridades para gestionar los
riesgos de seguridad de la informacin, en funcin de las conclusiones obtenidas de
la evaluacin de riesgos, de los objetivos de control identificados, de los recursos
disponibles, etc.
Procedimientos documentados: todos los necesarios para asegurar la planificacin,
operacin y control de los procesos de seguridad de la informacin, as como para
la medida de la eficacia de los controles implantados.
Registros: documentos que proporcionan evidencias de la conformidad con los
requisitos y del funcionamiento eficaz del SGSI.
Declaracin de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas
inglesas); documento que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de evaluacin y
tratamiento de riesgos, justificando inclusiones y exclusiones.
6.5.5.1
Control de la documentacin
Para los documentos generados se debe establecer, documentar, implantar y mantener
un procedimiento que defina las acciones de gestin necesarias para:
EDCOM
ESPOL
Pgina 86
Tesis de Grado
Fig. F.13 Procesamiento de la informacin - Fuente:

www.ISO27000.es
Aprobar documentos apropiados antes de su emisin.

Revisar y actualizar documentos cuando sea necesario y renovar su validez.
Garantizar que los cambios y el estado actual de revisin de los documentos estn
identificados.
Garantizar que las versiones relevantes de documentos vigentes estn disponibles en
los lugares de empleo.
Garantizar que los documentos se mantienen legibles y fcilmente identificables.
Garantizar que los documentos permanecen disponibles para aquellas personas que los
necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los
procedimientos aplicables segn su clasificacin.
Garantizar que los documentos procedentes del exterior estn identificados.
Garantizar que la distribucin de documentos est controlada.
Prevenir la utilizacin de documentos obsoletos.
Aplicar la identificacin
6.5.5.2
Cmo se implementa un SGSI?
Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en

base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de
gestin de la calidad.
EDCOM
ESPOL
Pgina 87
Tesis de Grado
Fig. F.14 Plan-Do-Check-Act Fuente:

www.ISO27000.es
Plan (planificar): establecer el SGSI.

Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI
6.5.5.2.1 Plan: Establecer el SGSI

Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin,
activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin.
Definir una poltica de seguridad que:
Incluya el marco general y los objetivos de seguridad de la informacin de la
organizacin;
Considere requerimientos legales o contractuales relativos a la seguridad de la
informacin;
EDCOM
ESPOL
Pgina 88
Tesis de Grado
Est alineada con el contexto estratgico de gestin de riesgos de la organizacin

en el que se establecer y mantendr el SGSI.
Establezca los criterios con los que se va a evaluar el riesgo;
Est aprobada por la direccin.
Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los
requerimientos del negocio, adems de establecer los criterios de aceptacin del riesgo y
especificar los niveles de riesgo aceptable. Lo primordial de esta metodologa es que los
resultados obtenidos sean comparables y repetibles (existen numerosas metodologas
estandarizadas para la evaluacin de riesgos, aunque es perfectamente aceptable definir
una propia).
Identificar los riesgos:
Identificar los activos que estn dentro del alcance del SGSI y a sus responsables
directos, denominados propietarios.
Identificar las amenazas en relacin a los activos;
Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
Identificar los impactos en la confidencialidad, integridad y disponibilidad de los
activos.
Analizar y evaluar los riesgos:
Evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida
de confidencialidad, integridad o disponibilidad de un activo de informacin.
Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en
relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que
ya estn implementados.
Estimar los niveles de riesgo.
Determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si
el riesgo es aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
Aplicar controles adecuados.
Aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios
establecidos para la aceptacin de los riesgos.
Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan.
EDCOM
ESPOL
Pgina 89
Tesis de Grado
Transferir el riesgo a terceros, p. ej., compaas aseguradoras o proveedores de

outsourcing.
Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el
tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso
de evaluacin del riesgo.
Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y
uso del SGSI.
Definir una declaracin de aplicabilidad que incluya:
Los objetivos de control y controles seleccionados y los motivos para su eleccin.
Los objetivos de control y controles que actualmente ya estn implantados.
Los objetivos de control y controles del Anexo A excluidos y los motivos para su
exclusin; este es un mecanismo que permite, adems, detectar posibles omisiones
involuntarias.
EDCOM
ESPOL
Pgina 90
Tesis de Grado
Fig. F.15 Gestin de Riesgos Fuente:

www.ISO27000.es
En relacin a los controles de seguridad, el estndar ISO 27002 (antigua ISO 17799)
proporciona una completa gua de implantacin que contiene 133 controles, segn 39
objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO
27001, en su segunda clusula, en trminos de documento indispensable para la
aplicacin de este documento y deja abierta la posibilidad de incluir controles
adicionales en el caso de que la gua no contemplase todas las necesidades particulares.
6.5.5.2.2 Do: Implementar y utilizar el SGSI
Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,
responsabilidades y prioridades en la gestin de los riesgos de seguridad de la
informacin.
Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de

control identificados, incluyendo la asignacin de recursos, responsabilidades y
prioridades.
Implementar los controles anteriormente seleccionados que lleven a los objetivos de
control.
EDCOM
ESPOL
Pgina 91
Tesis de Grado
Definir un sistema de mtricas que permita obtener resultados reproducibles y

comparables para medir la eficacia de los controles o grupos de controles.
Procurar programas de formacin y concienciacin en relacin a la seguridad de la
informacin a todo el personal.
Gestionar las operaciones del SGSI.
Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la
Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a
los incidentes de seguridad.
6.5.5.2.3 Check: Monitorizar y revisar el SGSI
La organizacin deber:
Ejecutar procedimientos de monitorizacin y revisin para:
Detectar a tiempo los errores en los resultados generados por el procesamiento de
la informacin.
Identificar brechas e incidentes de seguridad.
Ayudar a la direccin a determinar si las actividades desarrolladas por las personas
y dispositivos tecnolgicos para garantizar la seguridad de la informacin se
desarrollan en relacin a lo previsto.
Detectar y prevenir eventos e incidentes de seguridad mediante el uso de
indicadores.
Determinar si las acciones realizadas para resolver brechas de seguridad fueron
efectivas.
Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la
poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes,
resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes
implicadas.
Medir la efectividad de los controles para verificar que se cumple con los requisitos de
seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos
residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan
podido producirse en la organizacin, la tecnologa, los objetivos y procesos de negocio,
las amenazas identificadas, la efectividad de los controles implementados y el entorno
exterior -requerimientos legales, obligaciones contractuales, etc.-.
EDCOM
ESPOL
Pgina 92
Tesis de Grado
Realizar peridicamente auditoras internas del SGSI en intervalos planificados.

Revisar el SGSI por parte de la direccin peridicamente para garantizar que el
alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son
evidentes.
Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos
encontrados durante las actividades de monitorizacin y revisin.
Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el
rendimiento del SGSI.
6.5.5.2.4 Act: Mantener y mejorar el SGSI
La organizacin deber regularmente:
Implantar en el SGSI las mejoras identificadas.
Realizar las acciones preventivas y correctivas adecuadas en relacin a la clusula 8 de
ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras
organizaciones.
Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle
adecuado y acordar, si es pertinente, la forma de proceder.
Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. PDCA es un
ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de
Plan para iniciar un nuevo ciclo de las cuatro fases.
Tngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que,
p. ej., puede haber actividades de implantacin que ya se lleven a cabo cuando otras de
planificacin an no han finalizado; o que se monitoricen controles que an no estn
implantados en su totalidad.
Este estndar es certificable, es decir, cualquier organizacin que tenga implantado un
SGSI segn este modelo, puede solicitar una auditora externa por parte de una entidad
acreditada y, tras superar con xito la misma, recibir la certificacin en ISO 27001.
6.5.5.3
Qu tareas tiene la Gerencia en un SGSI?
Uno de los componentes primordiales en la implantacin exitosa de un Sistema de

Gestin de Seguridad de la Informacin es la implicacin de la direccin. No se trata de
una expresin retrica, sino que debe asumirse desde un principio que un SGSI afecta
fundamentalmente a la gestin del negocio y requiere, por tanto, de decisiones y
acciones que slo puede tomar la gerencia de la organizacin. No se debe caer en el
error de considerar un SGSI una mera cuestin tcnica o tecnolgica relegada a niveles
EDCOM
ESPOL
Pgina 93
Tesis de Grado
inferiores del organigrama; se estn gestionando riesgos e impactos de negocio que son
responsabilidad y decisin de la direccin.
El trmino Direccin debe contemplarse siempre desde el punto de vista del alcance del
SGSI. Es decir, se refiere al nivel ms alto de gerencia de la parte de la organizacin
afectada por el SGSI (recurdese que el alcance no tiene por qu ser toda la
organizacin).
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la direccin se
detallan en los siguientes puntos:
6.5.5.3.1 Compromiso de la direccin
La direccin de la organizacin debe comprometerse con el establecimiento,
implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del
SGSI. Para ello, debe tomar las siguientes iniciativas:
Establecer una poltica de seguridad de la informacin.
Asegurarse de que se establecen objetivos y planes del SGSI.
Establecer roles y responsabilidades de seguridad de la informacin.
Comunicar a la organizacin tanto la importancia de lograr los objetivos de seguridad
de la informacin y de cumplir con la poltica de seguridad, como sus responsabilidades
legales y la necesidad de mejora continua.
Asignar suficientes recursos al SGSI en todas sus fases.
Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles.
Asegurar que se realizan auditoras internas.
Realizar revisiones del SGSI, como se detalla ms adelante.
6.5.5.3.2 Asignacin de recursos
Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es
imprescindible la asignacin de recursos. Es responsabilidad de la direccin garantizar
que se asignan los suficientes para:
Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.
Garantizar que los procedimientos de seguridad de la informacin apoyan los
requerimientos de negocio.
Identificar y tratar todos los requerimientos legales y normativos, as como las
obligaciones contractuales de seguridad.
EDCOM
ESPOL
Pgina 94
Tesis de Grado
Aplicar correctamente todos los controles implementados, manteniendo de esa forma

la seguridad adecuada.
Realizar revisiones cuando sea necesario y actuar adecuadamente segn los resultados
de las mismas.
Mejorar la eficacia del SGSI donde sea necesario.
6.5.5.3.3 Formacin y concienciacin
La formacin y la concienciacin en seguridad de la informacin son elementos bsicos
para el xito de un SGSI. Por ello, la direccin debe asegurar que todo el personal de la
organizacin al que se le asignen responsabilidades definidas en el SGSI est
suficientemente capacitado. Se deber:
Determinar las competencias necesarias para el personal que realiza tareas en
aplicacin del SGSI.
Satisfacer dichas necesidades por medio de formacin o de otras acciones como, p. ej.,
contratacin de personal ya formado.
Evaluar la eficacia de las acciones realizadas.
Mantener registros de estudios, formacin, habilidades, experiencia y cualificacin.
Adems, la direccin debe asegurar que todo el personal relevante este concienciado de
la importancia de sus actividades de seguridad de la informacin y de cmo contribuye
a la consecucin de los objetivos del SGSI.
6.5.5.3.4 Revisin del SGSI
A la direccin de la organizacin se le asigna tambin la tarea de, al menos una vez al
ao, revisar el SGSI, para asegurar que contine siendo adecuado y eficaz. Para ello,
debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que
se pueden enumerar:
Resultados de auditoras y revisiones del SGSI.
Observaciones de todas las partes interesadas.
Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar el
rendimiento y eficacia del SGSI.
Informacin sobre el estado de acciones preventivas y correctivas.
Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones
de riesgos anteriores.
Resultados de las mediciones de eficacia.
EDCOM
ESPOL
Pgina 95
Tesis de Grado
Estado de las acciones iniciadas a raz de revisiones anteriores de la direccin.

Cualquier cambio que pueda afectar al SGSI.
Recomendaciones de mejora.
Basndose en todas estas informaciones, la direccin debe revisar el SGSI y tomar
decisiones y acciones relativas a:
- Mejora de la eficacia del SGSI.
- Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos.
- Modificacin de los procedimientos y controles que afecten a la seguridad de la
informacin, en respuesta a cambios internos o externos en los requisitos de negocio,
requerimientos de seguridad, procesos de negocio, marco legal, obligaciones
contractuales, niveles de riesgo y criterios de aceptacin de riesgos.
- Necesidades de recursos.
- Mejora de la forma de medir la efectividad de los controles.
6.5.5.3.5 Arranque del proyecto
Compromiso de la Direccin:
Una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el
apoyo claro y decidido de la Direccin de la organizacin. No slo por ser un punto
contemplado de forma especial por la norma sino porque el cambio de cultura y
concienciacin que lleva consigo el proceso hacen necesario el impulso constante de la
Direccin.
Planificacin, fechas, responsables:
Como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase
multiplican sus efectos positivos sobre el resto de fases.
Planificacin. Definir alcance del SGSI:

En funcin de caractersticas del negocio, organizacin, localizacin, activos y
tecnologa, definir el alcance y los lmites del SGSI (el SGSI no tiene por qu abarcar
toda la organizacin; de hecho, es recomendable empezar por un alcance limitado.
Definir poltica de seguridad:
Que incluya el marco general y los objetivos de seguridad de la informacin de la
organizacin, tenga en cuenta los requisitos de negocio, legales y contractuales en
cuanto a seguridad, est alineada con la gestin de riesgo general, establezca criterios de
evaluacin de riesgo y sea aprobada por la Direccin. La poltica de seguridad es un
documento muy general, una especie de "declaracin de intenciones" de la Direccin,
por lo que no pasar de dos o tres pginas.
EDCOM
ESPOL
Pgina 96
Tesis de Grado
Definir el enfoque de evaluacin de riesgos:

Definir una metodologa de evaluacin de riesgos apropiada para el SGSI y las
necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y
determinar el nivel de riesgo aceptable. Existen muchas metodologas de evaluacin de
riesgos aceptadas internacionalmente (ver seccin de Herramientas); la organizacin
puede optar por una de ellas, hacer una combinacin de varias o crear la suya propia.
ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cmo definirla (en
el futuro, ISO 27005 proporcionar ayuda en este sentido). El riesgo nunca es
totalmente eliminable -ni sera rentable hacerlo-, por lo que es necesario definir una
estrategia de aceptacin de riesgo.
Inventario de activos:
Todos aquellos activos de informacin que tienen algn valor para la organizacin y que
quedan dentro del alcance del SGSI.
Identificar amenazas y vulnerabilidades:
Todas las que afectan a los activos del inventario.
Identificar los impactos:
Los que podra suponer una prdida de la confidencialidad, la integridad o la
disponibilidad de cada uno de los activos.
Anlisis y evaluacin de los riesgos:
Evaluar el dao resultante de un fallo de seguridad (es decir, que una amenaza explote
una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo
resultante y determinar si el riesgo es aceptable (en funcin de los niveles definidos
previamente) o requiere tratamiento.
Identificar y evaluar opciones para el tratamiento del riesgo:
El riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el
activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato
de outsourcing).
Seleccin de controles:
Seleccionar controles para el tratamiento el riesgo en funcin de la evaluacin anterior.
Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las
exclusiones habrn de ser justificadas) y otros controles adicionales si se consideran
necesarios.
Aprobacin por parte de la Direccin del riesgo residual y autorizacin de implantar
el SGSI:
Hay que recordar que los riesgos de seguridad de la informacin son riesgos de negocio
y slo la Direccin puede tomar decisiones sobre su aceptacin o tratamiento. El riesgo
residual es el que queda, an despus de haber aplicado controles (el "riesgo cero" no
existe prcticamente en ningn caso).
EDCOM
ESPOL
Pgina 97
Tesis de Grado
Confeccionar una Declaracin de Aplicabilidad:

La llamada SOA (Statement of Applicability) es una lista de todos los controles
seleccionados y la razn de su seleccin, los controles actualmente implementados y la
justificacin de cualquier control. Es, en definitiva, un resumen de las decisiones
tomadas en cuanto al tratamiento del riesgo.
Implementacin. Definir plan de tratamiento de riesgos:

Que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de
los riesgos de seguridad de la informacin.
Implantar plan de tratamiento de riesgos:
Con la meta de alcanzar los objetivos de control identificados.
Implementar los controles:
Todos los que se seleccionaron en la fase anterior.
Formacin y concienciacin:
De todo el personal en lo relativo a la seguridad de la informacin.
Desarrollo del marco normativo necesario: normas, manuales, procedimientos e
instrucciones.
Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
Implantar procedimientos y controles de deteccin y respuesta a incidentes de
seguridad.
Seguimiento. Ejecutar procedimientos y controles de monitorizacin y revisin:

Para detectar errores en resultados de procesamiento, identificar brechas e incidentes de
seguridad, determinar si las actividades de seguridad de la informacin estn
desarrollndose como estaba planificado, detectar y prevenir incidentes de seguridad
mediante el uso de indicadores y comprobar si las acciones tomadas para resolver
incidentes de seguridad han sido eficaces.
Revisar regularmente la eficacia del SGSI:
En funcin de los resultados de auditoras de seguridad, incidentes, mediciones de
eficacia, sugerencias y feedback de todos los interesados.
Medir la eficacia de los controles:
Para verificar que se cumple con los requisitos de seguridad.
Revisar regularmente la evaluacin de riesgos:
Los cambios en la organizacin, tecnologa, procesos y objetivos de negocio, amenazas,
eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados,
el riesgo residual y el nivel de riesgo aceptado.
EDCOM
ESPOL
Pgina 98
Tesis de Grado
Realizar regularmente auditoras internas:

Para determinar si los controles, procesos y procedimientos del SGSI mantienen la
conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y
objetivos de seguridad de la organizacin, estn implementados y mantenidos con
eficacia y tienen el rendimiento esperado.
Revisar regularmente el SGSI por parte de la Direccin:

Para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al
proceso del SGSI, a la poltica de seguridad o a los objetivos de seguridad de la
informacin.
Actualizar planes de seguridad:
Teniendo en cuenta los resultados de la monitorizacin y las revisiones.
Registrar acciones y eventos que puedan tener impacto en la eficacia o el
rendimiento del SGSI:
Sirven como evidencia documental de conformidad con los requisitos y uso eficaz del
SGSI.
Mejora continua. Implantar mejoras:

Poner en marcha todas las mejoras que se hayan propuesto en la fase anterior.
Acciones correctivas:
Para solucionar no conformidades detectadas.
Acciones preventivas:
Para prevenir potenciales no conformidades.
Comunicar las acciones y mejoras:
A todos los interesados y con el nivel adecuado de detalle.
Asegurarse de que las mejoras alcanzan los objetivos pretendidos:
La eficacia de cualquier accin, medida o cambio debe comprobarse siempre.
Aspectos Clave. Compromiso y apoyo de la Direccin de la organizacin.

Definicin clara de un alcance apropiado.
Concienciacin y formacin del personal.
Evaluacin de riesgos exhaustiva y adecuada a la organizacin.
Compromiso de mejora continua.
Establecimiento de polticas y normas.
Organizacin y comunicacin.
Integracin del SGSI en la organizacin.
Factores de xito.EDCOM
ESPOL
Pgina 99
Tesis de Grado
La concienciacin del empleado por la seguridad. Principal objetivo a conseguir.

Realizacin de comits de direccin con descubrimiento continuo de no
conformidades o acciones de mejora.
Creacin de un sistema de gestin de incidencias que recoja notificaciones continuas
por parte de los usuarios (los incidentes de seguridad deben ser reportados y
analizados).
La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
La seguridad no es un producto, es un proceso.
La seguridad no es un proyecto, es una actividad continua y el programa de proteccin
requiere el soporte de la organizacin para tener xito.
La seguridad debe ser inherente a los procesos de informacin y del negocio.
Riesgos. Exceso de tiempos de implantacin: con los consecuentes costes descontrolados,

desmotivacin, alejamiento de los objetivos iniciales, etc.
Temor ante el cambio: resistencia de las personas.
Discrepancias en los comits de direccin.
Delegacin de todas las responsabilidades en departamentos tcnicos.
No asumir que la seguridad de la informacin es inherente a los procesos de negocio.
Planes de formacin y concienciacin inadecuados.
Calendario de revisiones que no se puedan cumplir.
Definicin poco clara del alcance.
Exceso de medidas tcnicas en detrimento de la formacin, concienciacin y medidas
de tipo organizativo.
Falta de comunicacin de los progresos al personal de la organizacin.
Consejos bsicos. Mantener la sencillez y restringirse a un alcance manejable y reducido:

Un centro de trabajo, un proceso de negocio clave, un nico centro de proceso de datos
o un rea sensible concreta; una vez conseguido el xito y observados los beneficios,
ampliar gradualmente el alcance en sucesivas fases.
Comprender en detalle el proceso de implantacin:
Iniciarlo en base a cuestiones exclusivamente tcnicas es un error frecuente que
rpidamente sobrecarga de problemas la implantacin; adquirir experiencia de otras
implantaciones, asistir a cursos de formacin o contar con asesoramiento de consultores
externos especializados.
Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
La autoridad y compromiso decidido de la Direccin de la empresa:
Incluso si al inicio el alcance se restringe a un alcance reducido- evitarn un muro de
excusas para desarrollar las buenas prcticas, adems de ser uno de los puntos
fundamentales de la norma.
EDCOM
ESPOL
Pgina 100
Tesis de Grado
La certificacin como objetivo:

Aunque se puede alcanzar la conformidad con la norma sin certificarse, la certificacin
por un tercero asegura un mejor enfoque, un objetivo ms claro y tangible y, por lo
tanto, mejores opciones de alcanzar el xito.
No reinventar la rueda:
Aunque el objetivo sea ISO 27001, es bueno obtener informacin relativa a la gestin
de la seguridad de la informacin de otros mtodos y marcos reconocidos.
Servirse de lo ya implementado:
Otros estndares como ISO 9001 son tiles como estructura de trabajo, ahorrando
tiempo y esfuerzo y creando sinergias; es conveniente pedir ayuda e implicar a auditores
internos y responsables de otros sistemas de gestin.
Reservar la dedicacin necesaria diaria o semanal:
El personal involucrado en el proyecto debe ser capaz de trabajar con continuidad en el
proyecto.
Registrar evidencias:
Deben recogerse evidencias al menos tres meses antes del intento de certificacin para
demostrar que el SGSI funciona adecuadamente.
6.5.5.4
En qu ayudan los sistemas de gestin en general?
Aseguran que una organizacin es dirigida de un modo eficiente y eficaz.

Formalizan y sistematizan la gestin en procedimientos escritos, instrucciones,
formularios y registros que aseguren la eficiencia de la organizacin y su mejora
continua.
Qu informacin protege un SGSI?
Los activos de informacin de una organizacin, independientemente del soporte que se
encuentren; p. ej., correos electrnicos, informes, escritos relevantes, pginas web,
imgenes, documentos, hojas de clculo, faxes, presentaciones, contratos, registros de
clientes, informacin confidencial de trabajadores y colaboradores.
Qu es exactamente la seguridad de la informacin?
La seguridad de la informacin es la preservacin de la confidencialidad, integridad y
disponibilidad de la misma y de los sistemas implicados en su tratamiento dentro de una
organizacin. Estos tres factores se definen como:
Confidencialidad: acceso a la informacin por parte nicamente de quienes estn
autorizados.
Integridad: mantenimiento de la exactitud y completitud de la informacin y sus
mtodos de proceso.
Disponibilidad: acceso a la informacin y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados cuando lo requieran.
EDCOM
ESPOL
Pgina 101
Tesis de Grado
Tengo un firewall, actualizo regularmente el antivirus y realizo copias de backup.

Qu aporta un SGSI a mi empresa?
Estas medidas no son ms que unos pocos controles tcnicos que, por s mismos, no
significan que se est gestionando la seguridad. Un SGSI implica que la organizacin ha
estudiado los riesgos a los que est sometida toda su informacin, ha evaluado qu nivel
de riesgo asume, ha implantado controles (no slo tecnolgicos, sino tambin
organizativos) para aquellos riesgos que superan dicho nivel, ha documentado las
polticas y procedimientos relacionados y ha entrado en un proceso continuo de revisin
y mejora de todo el sistema.
El SGSI da as la garanta a la empresa de que los riesgos que afectan a su informacin
son conocidos y gestionados. No se debe olvidar, por tanto, que no hay seguridad total
sino seguridad gestionada.
Existe algn producto que cubra los principales aspectos de seguridad de la
informacin?
No. Por influencia de la publicidad y las campaas de venta agresivas, es un error
comn pensar que el nivel de seguridad depende exclusivamente del presupuesto
dedicado a la compra de productos relacionados.
La seguridad exige de un plan de gestin del riesgo continuado, polticas adecuadas a
cada empresa y una seguridad establecida en base a mltiples y diferentes barreras.
Siempre hay que recordar que la seguridad no es un producto sino un proceso.
Si la seguridad total no existe, qu diferencia aporta un SGSI?
Un SGSI es el modo ms eficaz de conseguir minimizar los riesgos, asegurar la
continuidad adecuada de las actividades de negocio hasta en los casos ms extremos y
de adaptar la seguridad a los cambios continuos que se producen en la empresa y en su
entorno. Aunque nunca logremos la seguridad total, nos acercamos a ella mediante una
mejora continua. Es ms apropiado hablar en trminos de riesgo asumible en lugar de
seguridad total, ya que no sera lgico que el gasto en seguridad sea mayor que los
impactos potenciales de los riesgos que pretende evitar.
En qu consiste la gestin del riesgo y el ciclo de vida PDCA?
Mediante la gestin del riesgo se identifican, evalan y corrigen a niveles razonables y
asumibles en coste todos los riesgos en seguridad que podran afectar a la informacin.
PDCA son las siglas en ingls del conocido como ciclo de Deming: Plan-Do-Check-Act
(Planificar-Hacer-Verificar-Actuar).
En la fase PLAN se realiza la evaluacin de las amenazas, riesgos e impactos.
EDCOM
ESPOL
Pgina 102
Tesis de Grado
En la fase DO, se seleccionan e implementan los controles que reduzcan el riesgo a los
niveles considerados como aceptables y en CHECK y ACT se cierra y reinicia el ciclo
de vida con la recogida de evidencias y readaptacin de los controles segn los nuevos
niveles obtenidos y requeridos.
Es un proceso cclico sin fin que permite la mejor adaptacin de la seguridad al cambio
continuo que se produce en la empresa y su entorno.
6.5.5.5
Certificacin
Por qu dentro de la serie es certificable nicamente la 27001?

Es la norma que define el modelo completo de gestin de seguridad de la informacin
segn ciclo PDCA aunque, para algunos procesos, se apoya en otras normas relacionas
no certificables, como ISO 27002.
Quin certifica a mi empresa en ISO 27001?
Una entidad de certificacin acreditada, mediante una auditora. Esta entidad establece
el nmero de das y auditores necesarios, puede realizar una pre auditoria (no
obligatoria) y lleva a cabo una auditora formal. Si el informe es favorable, la empresa
recibir la certificacin.
Para mayor detalle, consulte nuestra seccin de Certificacin
(http://www.iso27000.es/certificacion.html).
En qu ayuda a las empresas la auditora de certificacin?
Supone la oportunidad de recibir la confirmacin por parte de un experto ajeno a la
empresa de que se est gestionando correctamente la seguridad de la informacin.
Aade un factor de tensin y de concentracin en un objetivo a todos los miembros del
proyecto y de la organizacin en general, lo que redunda en beneficio de la implantacin
del sistema. Da una seal al mercado de que la empresa en cuestin es confiable y es
gestionada transparentemente.
Es el requisito indispensable para acceder a la certificacin y poder utilizar el sello de
certificacin junto al de la propia empresa.
Esta condicin ser muy favorable al entablar futuras relaciones laborales con dems
empresas
Por qu crece el nmero de empresas certificadas?
El acta Sarbanes-Oxley en EEUU y la publicacin de directivas en el mbito EU y en
cada estado miembro ha activado las alarmas en la direccin de las empresas.
Adicionalmente a los requisitos legales establecidos para auditoras financieras, gestin
de riesgos, financiacin, plan de desastres, continuidad de negocio, etc., crece el nmero
de requisitos legales relacionados con la proteccin de los datos de carcter personal.
EDCOM
ESPOL
Pgina 103
Tesis de Grado
ISO27001 ayuda a considerar y adoptar los controles necesarios en los procesos de

negocio y tratamiento de la informacin para satisfacer las demandas de la empresa,
legales y de los clientes en materia de seguridad de la informacin.
Obliga mi certificacin a la de mis empresas de servicio externas (outsourcing)?
No necesariamente. ISO27001 indica los controles a considerar para servicios de
outsourcing desde el mbito de su empresa (requisitos contractuales, niveles de servicio,
obligaciones legales, auditora, etc.). La seguridad de los sistemas de informacin que
estn fuera del mbito es responsabilidad de la empresa externa, que debe cumplir
regularmente con los compromisos contractuales exigidos por el cliente.
Dnde puedo ver si una empresa est certificada?
El registro oficial de organizaciones certificadas en ISO 27001 o BS 7799-2 a nivel
mundial est en http://www.iso27001certificates.com.
Quin acredita a las entidades certificadoras?
Cada pas tiene una entidad de acreditacin (algunos, varias) que se encarga de
supervisar que las entidades de certificacin (las que, finalmente, auditan y certifican los
sistemas de gestin de las empresas) estn capacitadas para desempear su labor y se
ajustan a los esquemas establecidos. En Espaa, es ENAC (Entidad Nacional de
Acreditacin; http://www.enac.es) quien tiene esta misin.
Tambin se da el caso de entidades certificadoras que expiden certificados bajo esquema
de acreditacin de una entidad de acreditacin extranjera. En ISO 27001, se da
frecuentemente el caso con UKAS (entidad nacional de acreditacin del Reino Unido),
por el origen ingls de la norma y su corta vida an como ISO.
Cmo es el proceso de certificacin?
El proceso de certificacin puede resumirse en las siguientes fases:
Solicitud por parte del interesado a la entidad de certificacin y toma de datos por
parte de la misma.
Respuesta en forma de oferta por parte de la entidad certificadora.
Compromiso.
Designacin de auditores, determinacin de fechas y establecimiento conjunto del plan

de auditora.
Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte
informacin sobre la situacin actual y oriente mejor sobre las posibilidades de superar
la auditora real.
EDCOM
ESPOL
Pgina 104
Tesis de Grado
Fase 1 de la auditora: revisin del alcance, poltica de seguridad, Direccin, anlisis

de riesgos, declaracin de aplicabilidad y procedimientos clave.
Fase 2 de la auditora: revisin de las polticas, auditora de la implantacin de los
controles de seguridad y verificacin de la efectividad del sistema.
Certificacin: acciones correctivas en caso de no conformidades graves, revisin y
emisin de certificado en caso de informe favorable.
Auditora de seguimiento: auditora semestral o anual de mantenimiento.
Auditora de re-certificacin: cada tres aos, una auditora de certificacin formal
completa.
Alguien puede obligarme a certificarme en ISO 27001?

Como obligacin legal, a da de hoy, no. Sin embargo, como en toda relacin comercial,
el cliente puede exigir a su proveedor ciertas condiciones previas para ser considerado
siquiera como opcin de contratacin.
Hay administraciones pblicas que estn empezando a exigir certificados de este tipo a
las empresas que quieran acceder a concursos pblicos de productos o servicios
relacionados con sistemas de informacin. Igualmente, es previsible que empresas
privadas comiencen en algn momento a exigrselo a sus proveedores siempre que vaya
a haber algn tipo actividad relacionada con informacin sensible.
Lista de trminos relacionados con la serie ISO 27000 y la seguridad de la informacin,
definidos en el contexto de las mismas. Se incluye la correspondencia en ingls de cada
uno de los trminos.
EDCOM
ESPOL
Pgina 105
Tesis de Grado
6.6 ANEXO VI
6.6.1
Glosario
6.6.1.1
Glosario de Trminos
En este glosario se presentan los trminos de uso frecuente en el entorno del anlisis de
riesgos.
En la elaboracin de este glosario se han obtenido en cuenta las definiciones recogidas
en los principales estndares que se detallan en la Norma Iso-27000
Activo.- En relacin con la seguridad de la informacin, se refiere a cualquier
informacin o sistema relacionado con el tratamiento de la misma que tenga valor para
la organizacin. Segn [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor para la
organizacin.
Alcance.- mbito de la organizacin que queda sometido al SGSI. Debe incluir la
identificacin clara de las dependencias, interfaces y lmites con el entorno, sobre todo
si slo incluye una parte de la organizacin.
Amenaza.- Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no
deseado, el cual puede causar el dao a un sistema o la organizacin.
Anlisis de impacto al negocio: evaluar los resultados y las consecuencias de la
inestabilidad.
Anlisis de riesgos.- Segn [ISO/IEC Gua 73:2002]: Uso sistemtico de la
informacin para identificar fuentes y estimar el riesgo.
Autorizacin: Lo que se permite cuando se ha otorgado acceso.
Confidencialidad.- Es la propiedad de prevenir la divulgacin de informacin a
personas o sistemas no autorizados. Por ejemplo, una transaccin de tarjeta de crdito
en Internet requiere que el nmero de tarjeta de crdito a ser transmitida desde el
comprador al comerciante y el comerciante de a una red de procesamiento de
transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del
nmero de la tarjeta y los datos que contiene la banda magntica durante la transmisin
de los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta en modo
alguno, se ha producido una violacin de la confidencialidad. La prdida de la
confidencialidad de la informacin puede adoptar muchas formas. Cuando alguien mira
por encima de su hombro, mientras usted tiene informacin confidencial en la pantalla,
cuando se publica informacin privada, cuando un laptop con informacin sensible
sobre una empresa es robado, cuando se divulga informacin confidencial a travs del
telfono, etc. Todos estos casos pueden constituir una violacin de la confidencialidad.
EDCOM
ESPOL
Pgina 106
Tesis de Grado
Control.- Las polticas, los procedimientos, las prcticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la informacin por debajo del
nivel de riesgo asumido. (Nota: Control es tambin utilizado como sinnimo de
salvaguarda o contramedida.
Control de Acceso: limitar el acceso autorizado solo a entidades autenticadas.
Disponibilidad.- Es la caracterstica, cualidad o condicin de la informacin de
encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o
aplicaciones. En el caso de los sistemas informticos utilizados para almacenar y
procesar la informacin, los controles de seguridad utilizada para protegerlo, y los
canales de comunicacin protegidos que se utilizan para acceder a ella deben estar
funcionando correctamente. La Alta disponibilidad sistemas objetivo debe seguir
estando disponible en todo momento, evitando interrupciones del servicio debido a
cortes de energa, fallos de hardware, y actualizaciones del sistema. Garantizar la
disponibilidad implica tambin la prevencin de ataque Denegacin de servicio. La
disponibilidad adems de ser importante en el proceso de seguridad de la informacin,
es adems variada en el sentido de que existen varios mecanismos para cumplir con los
niveles de servicio que se requiera, tales mecanismos se implementan en infraestructura
tecnolgica, servidores de correo electrnico, de bases de datos, de web etc., mediante
el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red,
servidores espejo, replicacin de datos, redes de almacenamiento (SAN), enlaces
redundantes, etc. La gama de posibilidades depender de lo que queremos proteger y el
nivel de servicio que se quiera proporcionar.
Evaluacin de riesgos.- Segn [ISO/IEC Gua 73:2002]: proceso de comparar el riesgo
estimado contra un criterio de riesgo dado con el objeto de determinar la importancia
del riesgo.
Evento.- Segn [ISO/IEC TR 18044:2004]: Suceso identificado en un sistema, servicio
o estado de la red que indica una posible brecha en la poltica de seguridad de la
informacin o fallo de las salvaguardias, o una situacin anterior desconocida que
podra ser relevante para la seguridad.
Gestin de riesgos.- Proceso de identificacin, control y minimizacin o eliminacin, a
un coste aceptable, de los riesgos que afecten a la informacin de la organizacin.
Incluye la valoracin de riesgos y el tratamiento de riesgos. Segn [ISO/IEC Gua
73:2002]: actividades coordinadas para dirigir y controlar una organizacin con respecto
al riesgo.
Identificacin: verificacin de una persona o cosa; reconocimiento.
EDCOM
ESPOL
Pgina 107
Tesis de Grado
IEC.- Organizacin internacional que publica estndares relacionados con todo tipo de
tecnologas elctricas y electrnicas.
Impacto.- El coste para la empresa de un incidente -de la escala que sea-, que puede o
no ser medido en trminos estrictamente financieros -p.ej., prdida de reputacin,
implicaciones legales, etc.-.
Incidente.- Segn [ISO/IEC TR 18044:2004]: Evento nico o serie de eventos de
seguridad de la informacin inesperados o no deseados que poseen una probabilidad
significativa de comprometer las operaciones del negocio y amenazar la seguridad de la
informacin.
Integridad.- Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. No es igual a integridad referencial en bases de datos. La violacin de
integridad se presenta cuando un empleado, programa o proceso (por accidente o con
mala intencin) modifica o borra los datos importantes que son parte de la informacin,
as mismo hace que su contenido permanezca inalterado a menos que sea modificado
por personal autorizado, y esta modificacin sea registrada, asegurando su precisin y
confiabilidad. La integridad de un mensaje se obtiene adjuntndole otro conjunto de
datos de comprobacin de la integridad: la firma digital Es uno de los pilares
fundamentales de la seguridad de la informacin.
ISO 27001.- Estndar para sistemas de gestin de la seguridad de la informacin
adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera
publicacin en 2005
Objetivo.- Declaracin del resultado o fin que se desea lograr mediante la
implementacin de procedimientos de control en una actividad de TI determinada.
PDCA. - Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las
actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI),
verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI).
Polticas: declaracin de alto nivel sobre la intencin y la direccin de la gerencia.
Poltica de seguridad.- Documento que establece el compromiso de la Direccin y el
enfoque de la organizacin en la gestin de la seguridad de la informacin. Segn
[ISO/IEC 27002:2005]: intencin y direccin general expresada formalmente por la
Direccin.
Riesgo.- Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una prdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]:
combinacin de la probabilidad de un evento y sus consecuencias.
Riesgo Residual.- Segn [ISO/IEC Gua 73:2002] El riesgo que permanece tras el
tratamiento del riesgo.
EDCOM
ESPOL
Pgina 108
Tesis de Grado
Seguridad de la informacin.- Segn [ISO/IEC 27002:2005]: Preservacin de la

confidencialidad, integridad y disponibilidad de la informacin; adems, otras
propiedades como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser
tambin consideradas.
SGSI.- Sistema de Gestin de la Seguridad de la Informacin. Segn [ISO/IEC
27001:2005]: la parte de un sistema global de gestin que, basado en el anlisis de
riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la
seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de
organizacin, polticas, planificacin de actividades, responsabilidades, procedimientos,
procesos y recursos.)
Tratamiento de riesgos.- Segn [ISO/IEC Gua 73:2002]: Proceso de seleccin e
implementacin de medidas para modificar el riesgo.
Valoracin de riesgos.- Segn [ISO/IEC Gua 73:2002]: Proceso completo de anlisis y
evaluacin de riesgos.
Vulnerabilidad.- Debilidad en la seguridad de la informacin de una organizacin que
potencialmente permite que una amenaza afecte a un activo. Segn [ISO/IEC 133351:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una
amenaza.
6.6.1.2
Glosario de Abreviaturas
CID: Acrnimo espaol de confidencialidad, integridad y disponibilidad, los

parmetros bsicos de la seguridad de la informacin.
IEC: International Electrotechnical Commission.
ISMS: Information Security Management System, Sistema de Gestin de Seguridad de
la informacin.
ISO: International Organization for Standarization, Organizacin Internacional de
Estandarizacin.
PDCA: Plan, Do, Check, Act. Planificar, Ejecutar, Comprobar, Actuar. Ciclo de Deming
o de la mejora continua.
SGSI: Sistema de Gestin de Seguridad de la Informacin.
EDCOM
ESPOL
Pgina 109

SGSI

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

SGSI

Caricato da

Copyright:

Formati disponibili

ESCUELA SUPERIOR POLITCNICA

ESCUELA DE DISEO Y COMUNICACIN

Firma del Director del Proyecto

Ing. Vctor Muoz

Firma de los Autores del Proyecto de Graduacin

Betty Luna Matamoros

Ronald Ortiz Rodrguez

Jaime Paredes Arteaga

Fig. F.1 SGSI Principios bsicos ...................... 13

1.2 MARCO DE REFERENCIA

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la Seguridad

Integridad: Mantener la exactitud y completitud de la informacin y sus mtodos

Privacidad: La informacin no se pone a disposicin ni se revela a individuos,

Disponibilidad: El acceso y la utilizacin de la informacin y los sistemas de

Fig. F1 SGSI Principios bsicos.

Para garantizar que la seguridad de la informacin es gestionada correctamente, se debe

ISO (International Organization for Standardization)

La informacin es un activo vital para el xito y la continuidad en el mercado de

Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un

Es un estndar ISO que proporciona un modelo para establecer, implementar, utilizar,

Enfoque de evaluacin de riesgos: descripcin de la metodologa a emplear (cmo

Plan de tratamiento de riesgos: documento que identifica las acciones de la

Cmo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en

Fig. F.2 Plan-Do-Check-Act Fuente:

La seguridad en los Recursos Humanos

La gestin de la seguridad de la informacin, al igual que la mayora de los mbitos de

recurso de la empresa. Por tanto, no se puede proteger adecuadamente la informacin

Comienzo: Durante los primeros das de trabajo, es recomendable que el empleado:

Asista a unas sesiones de formacin donde se le introduzca en la

conoce sus obligaciones de seguridad tales como la proteccin de sus claves de

Reciba el manual de normativa interna y firme el compromiso de

Accesos: Los accesos a la informacin y sistemas informticos deben ser solicitados

Fig. F.3 Reclutamiento de personal

1.2.3.2.2 Salida de empleados

Fig. F.4 Cese de funciones

2 BREVE HISTORIA DE LA EMPRESA

La idea fue descartada inicialmente por la magnitud que la obra significaba.

La grave crisis de salud en el pas demanda la necesidad de intensificar la

Brindar servicios de atencin pediatra y de subespecialidades, clnica, Quirrgica:

Avda. Quito y Gmez Rendn

Fig. F.5 Mapa de ubicacin

La mxima autoridad dentro de la Organizacin es el Director general, teniendo a su vez

Una vez al ao el jefe de cada rea propone un cuadro de capacitacin para

Actualmente los contratos laborales son determinados dependiendo de las funciones a

Nombramiento ganador de concurso indefinido

La tabla de bajas est establecida de la siguiente manera:

Elegir adecuadamente el alcance es de suma importancia a la hora de abordar la

Alcance del Sistema planteado al Organismo

El modelo de SGSI orientado al Organismo se aplicar en los siguientes ambientes:

3.2 POLTICAS DE SEGURIDAD

Como mnimo, en Recursos Humanos se manejan datos de nivel medio (datos

PS 3. Con el fin de mantener la integridad del sistema es estrictamente necesario

del personal del Organismos son de carcter

3.3 ANLISIS DE RIESGOS

Consideracin Del Riesgo

El riesgo, en la medida en que supone una exposicin potencial a un impacto negativo

Fig. F.7 Anlisis de riegos

Un activo es todo aquello que contiene informacin que sea de

Cdigo: A-05 Nombre del activo: Registro de inventario asignado

funciones, sean estos de carcter tcnicos, mdicos, informticos o de cualquier

Cdigo: E-01 Nombre del Activo: Esipren

cambios, procesos que mejoran, problemas que buscan otra va de solucin,

falta de documentacin que ayude a la resolucin de problemas ya vividos, y